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出 矿 砚 明 一 


21 世纪 是 信息 时 代 ,信息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 二 接 关 系 到 国家 安全 、 企 业经 营 和 人 们 的 日 种 生活 。 随 着 
信息 安全 产业 的 快速 发 展 , 全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮 乏 , 远 远 不 能 满足 金融 . 商业、 公安. 盏 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 让 慎 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方 癌 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 .通信 、 物 理 ` 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 读 程 设置 ,各 高 校 普 遍 缺 乏 经 验 , 因 此 中 国 计 算 机 学 会 孝 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 ”等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 省 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ?的 编写 工作 。 编 委 会 本 痢 人 研究 先行 的 指导 原则 ,认真 
人 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
人 和 人。 系列 教材 的 作者 都 是 既 在 本 专业 领域 有 涂 厚 的 学 术 造 语 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 ,专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

J 体系 完整 结构 合理 ,内 容 先 进 。 

适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 

立体 配套 : 除 主 教材 外 ,还 配 有 多 媒体 电子 教案 ,习题 与 实验 指导 等 。 

版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。 “高 等 院 校 信 息 安 全 专业 系列 教材 "已 于 2006 年 年 
初 正 式 列 人 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 成 立 大 会 


Web 应 用 防火 墙 技术 及 应 用 实验 指导 


暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 会 的 名 义 正式 发 布 


《高 等 学 校 信 息 安 全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正 式 出 版 )。 


2015 年 6 月 ,国务院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 )、 国 家 发 展 和 改革 委员 会 ,教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 音 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培养 的 意见 ( 中 网 办 发 文 [201614 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 《关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空间 
安全 重点 规划 从 书 ” 的 工作 ,由 教育 部 高 等 学 校 网 络 空 间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 校 长 担任 编 委 会 主任 。 本 规划 从 书 基于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”普通 高 等 教育 精 
品 教材 “中 国 大 学 出 版 社 图 书 奖 ”和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 ， 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 《高 等 学 校 信 息 安 全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空 间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建 设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 .更 快 . 更 好 地 培养 网 络 安 全 人 才 ,如今 , 许 多 学 校 都 在 加 大 投 
入 ,聘请 优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 网 络 空间 安全 专业 人 才 培 养 的 关键 , 却 也 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ,至 少 
包括 密码 学 .数学 .计算 机 .通信 工程 .信息 工程 等 多 门 学 科 , 因 此 ,其 知识 体 
系 庞 大 .难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 ,技术 发 展 更 新 非常 快 ， 
对 环境 和 师资 要 求 也 很 高 。 

本 书 为 “Web 应 用 防火 墙 技术 及 应 用 ”课程 的 配套 实验 教材 。 通 过 实践 
教学 ,理解 和 掌握 Web 应 用 防火 墙 的 基本 配置 、 安 全 防护 功能 ,日 志 管 理 与 
分 析 功 能 的 使 用 ,从 而 培养 学 生 对 Web 应 用 防火 墙 设备 的 部 署 . 应 用 和 日 常 

本 书 分 为 4 章 。 第 1 章 介 绍 Web 应 用 防火 墙 基 本 配置 ,第 2 章 介 绍 
Web 应 用 防火 墙 安 全 防护 应 用 ,第 3 章 介 绍 Web 应 用 防火 墙 日 志 管 理 与 分 
析 , 第 4 章 介 绍 课程 设计 , 即 Web 应 用 防火 墙 综合 实验 。 

本 书 适 合作 为 网 络 空间 安全 .信息 安全 等 相关 专业 的 教材 。 随 着 新 技术 
的 不 断 发 展 ,今后 将 不 断 更 新 图 书 内 容 。 

本 书 编 写 过 程 中 得 到 奇 安信 集团 的 王 嘉 . 董 少 飞 . 白 伟 、 段 晓 光 、 裴 智勇 、 
翟 胜 军 , 以 及 北京 邮电 大 学 雷 敏 等 专家 学 者 的 鼎力 支持 ,在 此 对 他 们 的 工作 
表示 里 心 的 感谢 ! 
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Web 应 用 防火 墙 C(Web Application Firewall, WAF) 用 以 解决 诸如 防火 墙 等 传统 网 
络 安全 设备 无 法 解决 的 Web 应 用 安全 问题 。WAF 通过 执行 一 系列 针对 HTTP/ 
HTTPS 的 安全 策略 专门 为 Web 应 用 提供 防护 。 

其 设计 目标 为 : 针对 安全 事件 发 生 时 序 进 行 安 全 建 模 , 分 别针 对 安全 漏洞 .攻击 手段 
及 最 终 攻 击 结 果 进 行 扫 摘 、 防 护 及 诊断 ,提供 综合 Web 应 用 安全 解决 方案 。 

Web 应 用 防火 墙 是 基于 自主 知识 产权 开发 的 新 一 代 安 全 产品 ,作为 网 关 设 备 ,防护 
对 象 为 Web、Webmail 服务 器 。 

任何 一 个 单位 购置 Web 应 用 防火 墙 设备 后 ,需要 先 完 成 Web 应 用 防火 墙 基本 的 系 
统 配置 ,才能 使 Web 应 用 防火 墙 的 各 种 应 用 功能 生效 。 本 章 主 要 完成 Web 应 用 防火 墙 
的 系统 配置 和 对 象 管理 实验 。 

Web 应 用 防火 墙 系统 配置 的 第 一 步 就 是 登录 Web 应 用 防火 墙 , Web 应 用 防火 墙 登 
录 成 功 后 可 在 Web 应 用 防火 墙 中 添加 管理 员 和 角色 ,添加 管理 员 后 才 可 以 开始 进行 Web 
应 用 防火 墙 的 基本 管理 ;Web 应 用 防火 墙 的 系统 配置 完成 后 需要 对 Web 应 用 防火 墙 进 
行 对 象 管理 ,包括 基础 对 象 配置 和 服务 器 对 象 管理 ,配置 好 对 象 之 后 便 可 以 在 Web 应 用 
防火 墙 中 实现 对 象 所 需 的 防护 功能 。 


本 系统 配置 


111 _ Web 应 用 防火 均 登 录 管 理 实验 

【实验 目的 】 

管理 员 可 以 熟练 掌握 Web 应 用 防火 墙 的 多 种 登录 方式 ,并 且 能 够 根据 实际 的 需求 使 
用 不 同 的 登录 方式 管理 Web 应 用 防火 墙 。 

【知识 点 了 

HTTPS SSH 。 

【场景 摘 述 ]】 

A 公司 部 署 了 一 台 Web 服务 器 对 互联 网 上 的 用 户 提供 服务 ,为 了 保障 该 Web 服务 
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般 不 被 外 界 攻击 ,公司 采购 了 一 合 Web 设备 , 交 给 eine 
小 王 现在 想 登 录 设 备 进行 配置 ,请 帮 小 王 想 想 办 法 ,如 何 通 过 HTTPS、SSH 方式 登录 
人 台 Web 应 用 防火 墙 ? 

【实验 原理 】 

Web 应 用 防火 墙 支持 基于 图 形 化 界面 (WebUIT) 和 基于 命令 行 (CLI) 的 管理 方式 , 管 
理 员 可 通过 这 两 种 方式 对 Web 应 用 防火 墙 进行 配置 ,维护 和 管理 。 

WebUI 登录 方式 为 用 户 提 供 了 更 直观 的 人 机 交互 方式 ,用 户 可 通过 Web 页 面 对 
Web 应 用 防火 墙 的 网 络 进 行 配 置 , 实 现 HTTP 协议 来 访问 设备 。 

男 一 种 是 基于 CLI 命令 行 的 登录 方式 ,管理 员 可 以 通过 SSH 或 者 Telnet 终端 访问 
设备 ,一般 供 工 程 师 通过 底层 调试 设备 。 

访问 Web 应 用 防火 墙 的 设备 需要 与 Web 应 用 防火 墙 网 络 连 通 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 ] 台 。 

。 主机 终 顺 ，Windows XP 主机 1 台 ,Windows 7 主机 1 人 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 1-1 所 示 。 


管理 机 : 10.0.0.* 四 
(以 实际 IP 地 址 为 准 ) GE1:10.0.0.1 


图 1-] Web 应 用 防火 墙 登录 管理 实验 拓扑 


【实验 思路 】 

(1) 使 用 默认 的 HTTPS 的 方式 登录 设备 。 

(2) 使 用 SSH 的 方式 登录 设备 。 

【实验 步骤 了 】 

(1) 在 管理 机 中 打开 训 览 硕 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管 
理 员 用 户 名 admin 和 口令 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 , 如 图 1-2 所 示 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 ,如 图 1-3 所 示 。 

【实验 预期 】 

使 用 管理 员 用 户 admin 不 仅 可 以 通过 HTTPS 登录 Web 应 用 防火 墙 平 台 , 也 可 以 通 


过 SSH 的 方式 登录 Web 应 用 防火 墙 平 台 。 


【实验 结果 】 
(1) 在 管理 机 票面 双击 Xshell5。 如 弹出 "会话 ?界面 ,关闭 该 界面 。 在 Xshell5 界面 
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中 单 击 File-~New ,新 建 连接 ,如 图 1-4 所 示 。 

(2) 在 “New Session Properties” 界 面 中 ,在 Name 中 输入 “SSH 登录 Web 应 用 防火 
墙 ” ,将 Protocol 设置 为 SSH ,在 Host 中 输入 “10, 0.0. 1”。 其 他 保持 默认 配置 ,如 图 1-5 
所 不 。 

(3) 单 击 OK 按钮 ,关闭 “New Session Properties” 界 面 。 在 弹出 的 Sessions 界面 中 ， 
单 击 “SSH 登录 Web 应 用 防火 墙 ”, 单 击 OK 按钮 ,返回 Sessions 界面 , 单 击 Connect 按 
钮 ,如 图 1-6 所 示 。 
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图 1-4 新 建 连接 
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图 1-5 设置 会 二 属性 
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(4) 在 弹出 的 “SSH Security Warning” 界 面 中 , 单 击 “Accept and Save” 按 钮 ,如 图 1-7 
所 不。 

(5) 在 弹出 的 “SSH User Name” 界 面 中 ,在 “Enter a user name to login” 中 输入 
admin ,如 图 1-8 所 示 。 


S35H Security Warnineg 


Unknown Host key 

The host key of 10,0,.0.1 (port: 22) is not registered in the local host key 
database, The host key should be saved to authenticate this host at mext time. 站 
Remote Host: 10.0.0.1:22 (55H 登 录 Web 应 用 防 


Server Type SSH2, SSH_CUSTOM 


Host key thumbprint {MDS checksum): 
ssh=rsa 2048 2f:fb:f0:d8:0f:dé:c8:b8:6b:04:55:0d:f8: 1f:ae:5f 


Enter a User name to login: 
admin 
Do you want to accept this host key? 机 RE 


图 1-7 SSH 安全 警告 图 1-8 输入 用 户 名 


(6) 单 击 OK 按钮 ,在 弹出 的 “SSH User Authentication” 界 面 中 ,在 Password 中 输 
入 admin, 如 图 1-9 所 示 。 

(7) 单 击 OK 按钮 ,连接 Web 应 用 防火 墙 ,输入 命令 help, 按 Enter 键 执行 ,返回 正确 
结果 ,符合 预期 ,如 图 1-10 所 示 。 


【实验 思考 】 
Web 应 用 防火 墙 还 有 其 他 登录 方式 吗 ? 
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【实验 目的 】 
管理 员 通 过 添加 Web 应 用 防火 墙 管理 系统 的 远程 管理 IP 地 址 ,实现 多 网 段 的 主机 
对 Web 应 用 防火 墙 的 管理 。 
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SSH User Authent1icat1ion 


Remote Host: 10.0.0.1:22 (55H 登 录 Web 应 用 防火 1 
Login Name: admin 
Server TY¥pe: ss5H2, S$SH_LCUSTOM 


Select a proper user authentication method among the methods 
below and provide necessary information to login. 


(Ce)] Password 


Password: | 


人 Public Key 


OO Keyboard Interactive 
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xshell 5 (Build 1333) 
Copyright (c) 2002-2017 NetSarang Computer, Inc. All rights 


Type ‘help' toe learn how to use Xshell prompt, 
[Lc:\=j$ 


Connecting to 19.0.90.,1:22. 
Connection established 
To escape to local shell, press 'Ctrl+Alt+] 


| a5t lL6gin Men ADF 2 20:390:20 2018 十 Fon 19.,0.08,33 
WAFshe lp 
口 加 骨 避 站 是 Description 


ARP managment 
Bridge managment 
channel managment 
clear Clear screen 
dashnboard Dashboard 1nforaation 
dbmanage Database management 
dns DNS Server setup 
distributor Webkeepar distributor management 
exlt Exit shell 
factoryreset Reset to tactory mode (BE CAREFUL WITH THE OPERATION) 
help Show help 
history Shew history command Ll1ist 


ssh: /0.0.0.1:22 局 33H2 xtermn 1 有 9z26 I0 26,5 1 sssiorn 


图 1-10 成 功 连接 Web 应 用 防火 墙 


【知识 点 】 
管理 端口 .端口 设置 远程 管理 。 
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【 场 票 朱 述 】 

A 公司 采购 了 一 台 Web 应 用 防火 墙 , 安 全 运 维 工 程 师 小 王 给 设备 配置 了 IP 地 址 
“192. 168. 1. 40/16” 的 管理 地 址 ,由 于 管理 要 求 , 该 管理 地 址 不 能 修改 。 网 络 管理 员 小 张 
出 于 对 网 络 统一 管理 的 考虑 ,要 求 小 王 给 这 台 Web 应 用 防火 墙 配置 的 管理 地 址 为 “172. 
16. 0.1/24”。 小 张 还 要 求 可 以 访问 这 台 Web 应 用 防火 墙 , 小 张 所 在 的 网 段 为 “172. 16. 1. 
1/24”。 请 帮 小 王 想 想 办 法 ,如何 通过 配置 Web 应 用 防火 墙 实现 小 张 访问 这 台 Web 应 用 
防火 墙 的 要 求 ? 


【实验 原理 】 

Web 应 用 防火 墙 支持 多 网 段 管理 方式 ,一 台 设 备 可 以 配置 多 个 不 同 网 段 的 管理 IP 
地 址 。 

Web 应 用 防火 墙 出 于 安全 要 求 , 默 认 出 厂 只 允许 “10. 0. 0. 1/24? 网 段 访问 设备 ,其 他 
网 段 的 主机 如 需 访 问 该 设备 ,需要 在 远程 管理 模块 中 添加 对 应 的 IP 地 址 和 子 网 掩 码 , 才 
能 实现 远程 管理 Web 应 用 防火 墙 。 

同时 ,Web 应 用 防火 墙 允许 修改 访问 WebUI 界面 的 端口 ,管理 员 可 以 根据 实际 的 安 
全 需求 设置 对 应 的 端口 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 了 网络 设 备 : 路 由 右 1 台 。 

。 主机 终 顺 :Windows XP SP3 主机 1 台 ,Windows7 主机 1 合 。 

【实验 拓扑 】 

实验 拓扑 如 图 1-11 所 示 。 


GE1:10.0.0.1 


名 理 机 ; 10.0.0.22 PO:1T72.16.1:] 
(以 实际 IP 为 准 ) 


图 1-11 Web 应 用 防火 墙 多 网 段 登录 管理 实验 拓扑 


【实验 思路 】 

(1) 增加 网 桥接 口 。 

(2) 增加 远程 管理 IP。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”>“ 网 络 接口 ”, 单 击 “ 网 桥接 口 *?。 在 “网 桥接 口 ” 界 面 中 , 单 击 “增加 十 ”按钮 ， 
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增加 网 桥接 口 ,如 图 1-12 所 示 。 


省 Port 接口 二 Channel 接 口 ”十 网 桥接 口 ”下 Trunk 深 口 


[] 接口 名 称 TP 地 直 子 卫兵 酉 
| | MngtBridge 10,0,0.1 255.255,255.0 1500 


图 1-12 增加 网 桥接 口 


(3) 在 “增加 网 桥接 口 * 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12, 其 他 保持 默认 配置 ,如 图 1-13 所 示 。 


图 1-13 设置 网 桥接 口 


(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 增 
加 十 ”按钮 ,增加 了 了 ,如 图 1-14 所 示 。 

(5) 在 “接口 IP 地 址 配置 ”界面 中 ,输入 “IP 地 址 ”为 “172. 16. 0. 1”,“ 子 网 掩 码 ” 为 
“255. 255. 255.0”, 勾 选 “ 管 理 IP” 右 侧 的 复 选 框 ,其 他 保持 默认 配置 ,如 图 1-15 所 示 。 

(6) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 网 桥接 
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口 ? 界 面 , 单 击 “ 完 成 ?按钮 ,返回 “网 桥接 口 ? 界 面 , 可 见 成 功 添 加 的 接口 bridgel2, 如 图 1-16 
所 示 。 


172.16.0.1 


2II.299.273.0 


bd 


图 1-15 “接口 IP 地 址 配置 ”界面 


寺 Port 控 口中 channel 控 口 ” 十 网 桥 控 口 ”十 Trunk 控 口 


.接口 名 称 IP 刀 让 子 网 绰 码 
| | MngtBridge 10.0.0.1 255.255.255.0 
| | bridgel2 


Si 


馈 基础 对 家 


有 “Web 防护 
十 安全 情报 中 心 
哩 ”访问 控制 
四” 网 页 防 算 履 


口 ， 扫 撒 研 


图 1-16 成 功 添加 网 桥接 口 


Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指 征 IE 


(7) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 ,如 图 1-17 
所 示 。 


下 Port 接口 于 Chanmel 接 口 ”中 网 桥 沪 口 ” 站 Trunk 接 口 


| 接口 名 称 网 桥接 口 启用 状态 

L | 6E1 MngtBridge 启用 

广 ] | SB IUnagtBridage 启用 

器 ] | SB4 
[| GES 
[| 6E6 
| | GE7 
[6E8 


| 由 a 
i 
EE 
寺 
D 


tt 


局 用 
MngtBridge 中 用 本 用 
MngtEridge 启用 束 力 
hngtBridge 启用 芋 转 
MngtBridge 启用 位 玫 
NingiBridge 启用 华 用 


H 导 和 册 册 向 册 


图 1-17 打开 GE2 接口 


(8) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 他 保持 默认 配置 ,如 
图 1-18 所 示 。 


编辑 Port 接 口 
接口 名 称 * GE2 
Channel 接 口 * 3 


网 桥接 口 bridge12 


启用 状态 * 


1-18 设置 GE2 接口 


(9) 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ?按钮 。 返 回 “Port 接口 ” 
界面 ,可 见 GE2 的 配置 信息 ,如 图 1-19 所 示 。 

(10) 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 >“ 远程 管理 ”, 在 “远程 管理 ”界面 中 , 单 
击 “ 增 加 ”按钮 ,增加 远程 管理 IP, 这 个 IP 是 登录 管理 Web 应 用 防火 墙 设备 的 管理 员 的 计 
算 机 的 IP, 如 图 1-20 所 示 。 

(11) 在 “增加 新 的 远程 许可 IP 地 址 ”界面 中 ,在 “IP 地 址 ”中 输入 “172. 16. 1.1”,“ 子 
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也 admin [只 退出 


中 Port 接口 中 Channel 接 口 中 网 桥接 口 ”中 Trunk 接 口 | ae 


| 接口 名 称 channel 接口 网 桥接 口 链 路 状态 
| GE1 MngtBridge 启用 
网 络 接口 | 6 MingtBridge 
路 由 配置 | GE4 
策略 路 由 | GE5 


ARP 配 置 | GE6 
| SE7 
服务 器 管理 | ER 


内 | 内 


MngtBridge 
MngtBridge 
MngtBridge 
MngtBridge 


几 [ 骨 骨 册 骨骸 


MngtBridge 
这 二 础 对 角 
] Web 防护 
安全 情报 中 心 
和 访问 控制 
四 网 页 防 复 改 
:扫描 器 


了 了 DDos 防 护 


1-19 “Port 接口 ?列表 


可 admin 轴 退出 


十 远程 管理 | ms 


| IP 地址 子 网 捷 码 Ping 测 试 
账户 管理 | | 10.0.0.1 499.293.255.0 , ¥ES 
系统 信息 
叔 作 恢复 
在 续 升 级 
告警 识 置 
DNS 上 服务 器 
DNSs 豆 车 
sNkwP 配 置 
关机 重启 
回 谨 恢 拨 
负载 保护 
WebUi 设 理 


号 ”网 癌 匈 理 


服务 器 管 理 


庆 基础 对 祭 


1-20 ”增加 远程 管理 IP 


网 掩 码 ”输入 “255. 255. 255.0”, 勾 选 “ 是 否 允 许 Web”“ 是 否 允 许 Ping” 右 侧 的 复 选 框 , 如 
图 1-21 所 示 。 
(12) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “远程 管理 ” 
界面 ,可 见 成 功 添加 的 远程 管理 IP, 如 图 1-22 所 示 。 
(13) 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 "一 “WebUI 设置 ”, 在 界面 中 单 击 “重启 
11 
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增加 新 的 远程 许可 IP 地 址 


IP 地 址 * 172.16.1.1 


村 网 掩 倍 * 255.255.255.0 
是 百 苑 许 $SSH 
是 人 宪 苑 许 Web 


是 否 允 许 Ping 


1-21 


吕 admin [中 退出 
十 远程 管理 EE 区 


| | 瑟 地 址 子 网 掩 码 Ping 测 斌 
| 10001 er ea 
| | | 172.16.1.1 255.255.255.0 


账户 管理 
系统 信息 
备 份 恢复 
在 此 升级 
告 竹 设 音 
DNS 服 务 角 
DNS 配 置 
SNMP 配 置 
远程 管理 
尖山 重启 
回 濠 恢复 
负载 保护 
WebuI 误 置 


马 ”网络 管 理 
目 ”服务 器 管理 


党 基础 对 尔 


1-22 ”成功 添加 远程 管理 IP 


Web 服务 ”, 如 图 1-23 所 示 。 

(14) 在 此 界面 中 , 单 击 “确认 ”按钮 ,在 弹出 的 确定 界面 中 单 击 OK 按钮 ,5 秒 钟 后 , 返 
回 登 录 界 面 ,配置 完毕 ,如 图 1-24 所 示 。 

【实验 预期 】 

PC 可 以 访问 Web 应 用 防火 墙 。 

【实验 结果 】 

(1) 登录 实验 平台 中 对 应 实验 拓扑 右 侧 的 PC, 进入 虚拟 机 ,如 图 1-25 所 示 。 

(2) 在 虚拟 机 打开 火狐 浏览 需 , 在 地 址 栏 中 输入 “https: //172. 16. 0. 1” 后 按 
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1 这 功 能 特 重启 seb 服务 |! 


账户 管理 
系统 信息 
备份 恢复 
在 线 升 级 
上告 癌 设 于 
DNS 服 务 器 
DNS 配 置 
SNMP 配 置 
远程 管理 
关机 重启 
回 滚 恢复 
负 副 保 护 
webuiia| 
马 ” 网 络 管理 
目 ” 服 务 吴 管理 


一 其 古 对 虽 


1-23 “重启 Web 服务 ”界面 


Web 应 用 防火 墙 V6 


图 1-24 重启 成 功 


GE1:10.0.0.1 


管理 机 : 10.0.0.22 PC:172.16.1.1 
(以 实际 IP 为 准 ) 


图 1-25 登录 右 侧 虚拟 机 


mn | es 


Web 应 用 防火 墙 技术 及 应 用 实验 指 手 


Ye 应 用 防火 墙 凯 


DR https://1T2, 16,0, Togin/7next=%2 


Yeb 应 用 防火 墙 V6 


图 1-26 成功 访问 设备 


【实验 思考 了】 
如 果 小 王 需要 实现 全 网 段 的 地 址 访问 Web 应 用 防火 墙 ,该 如 何 配置 ?有 什么 样 的 安 
全 风险 ? 


113 Web 应 用 防火 十 管理 员 设 置 实验 


【实验 目的 】 
管理 员 可 根据 实际 业务 的 安全 需求 ,设置 不 同安 全 级 别 的 账号 ,如 可 设置 配置 管理 
员 账户 管理 员 .审计 管理 员 等 账号 ;另外 ,可 解决 各 个 管理 员 账号 密码 忘记 的 问题 。 


【知识 点 】 

管理 用 户 .密码 修改 . 阻 断 用 户 .用 户 权 限 。 

【 场 达 拉 述 】 

A 公司 运 维 工程 师 小 王 面 临 一 个 问题 , 张 经 理 需要 不 定期 登录 Web 应 用 防火 墙 管理 
系统 ,查看 Web 应 用 防火 墙 的 运行 状态 及 使 用 情况 , 另 一 名 安全 运 维 工程 师 小 黄 则 需要 
根据 实际 的 业务 需求 不 定期 调整 Web 应 用 防火 墙 的 配置 和 策略 。 小 王 想 让 张 经 理 可 以 
查看 内 容 但 不 能 修改 内 容 , 让 安全 运 维 工 程 师 小 黄 只 能 调整 策略 却 不 能 随意 创建 账号 ,月 
己 则 可 以 为 其 他 工作 人 员 分 配 账号 ,修改 其 他 用 户 账号 权限 。 请 思考 如 何 帮 小 王 解 决 这 
个 问题 。 

【实验 原理 】 

Web 应 用 防火 墙 管理 系统 内 置 了 三 种 管理 员 用 户 组 ,分别 是 配置 管理 员 (admin) 、 账 
户 管理 员 (account) 和 审计 管理 员 (audit) ,每 组 内 置 了 一 个 默认 用 户 。 配 置 管理 员 拥 有 配 
14 
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置 系统 .调整 策略 的 权限 ;账户 管理 员 拥 有 创建 修改 用 户 和 解除 阻 断 的 权限 ;审计 管理 员 
拥有 查看 审计 日 志 的 权限 。 所 有 管理 员 用 户 都 拥有 修改 自己 账户 密码 的 权限 。 

当 用 户 登 录 时 尝试 输入 密码 错误 次 数 超过 “登录 尝试 次 数 ”, 将 会 锁定 登录 IP 一 段 时 
间 ,账户 管理 员 可 以 手动 解除 锁定 , 称 为 “解除 阻 断 ”。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终 顺 :， Windows XP 主机 1 名。 

【实验 拓扑 了 

实验 拓扑 如 图 1-27 所 示 。 


管理 机 : 10.0.0.* | 
(以 实际 IP 地 址 为 准 ) GE1:10.0.0.1 


图 1-27 Web 应 用 防火 墙 管理 员 设 置 实验 拓扑 


【实验 思路 】 

(1) 增加 审计 管理 员 用 户 。 

(2) 通过 审计 管理 员 账 户 成 功 登 录 防 火 墙 设备 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 账户 管理 员 用 户 名 account 和 密码 account, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 ， 
开始 创建 账户 。 

(2) 进入 管理 系统 主页 面 , 单 击 “ 系 统 配置 ?一 "账户 管理 ,再 单 击 上 方 的 “用 户 管 

。 在 “用 户 管理 ?界面 中 , 单 击 “增加 十 ?按钮 ,增加 账户 ,如 图 1-28 所 示 。 

(3) 在 “增加 新 用 户 ” 界 面 中 ,在 “用 户 名 ”中 输入 zhang,“ 用 户 组 ”设置 为 account- 
group, 其 他 保持 默认 配置 ,增加 审计 管理 员 ,如 图 1-29 所 示 。 

(4) 单 击 “保存 ?按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ?按钮 ,返回 “用 户 管理 ? 界 
面 ,可 见 新 增加 的 用 户 ,配置 完毕 ,如 图 1-30 所 示 。 

【实验 预期 了】 

成 功 登 录 审 计 管理 员 用 户 。 

【实验 结果 】 

(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 zhang 和 密码 zhang, 单 击 “ 登 录 ” 按 钮 。 
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卫 account (中 退出 
十 修改 谱 码 ”十 用 户 管理 “十 阻 断 用 户 列表 [sia+] |Ea2 | 


用 户 色 用 户 组 宝 闲 锁定 时 间 ( 分 钟 ) 登录 宕 斌 次 烙 密码 长 度 
auditor audiigroup 5 3 10 


| 
| 
图 accouUnt accountgroup 5 3 10 


admin admingroup 5 3 10 


图 1-28 增加 账户 


增加 新 用 户 


用 记名 * zhang 


用 户 组 accountgroup 


登录 尝试 次 数 5 


空闲 锁定 时 间 ( 分 钟 ) 本 


窗 公 复杂 度 


窗 公 长 度 


1-29 “增加 新 用 户 ” 界 面 
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可 account ”[ 归 退出 


+ 修改 玄 码 ”十 用 户 管理 ”十 阻 其 用户 列 表 | :sm+ | |a2 


用户 各 用 户 组 空闲 镇 定时 间 ( 分 钟 ) 鹿 码 长 度 
_ | auditor auditgroup 加 
zhang accountgroup 60 


account accountgroup 3 


_ | admin admingroup 3 


图 1-30 成功 增加 用 户 
(2) 成 功 登 录 ,符合 预期 要 求 , 如 图 1-31 所 示 。 


卫 zhang [号 退出 


接口 实时 信息 


Web 应 用 防 a 9 -… ”上 收 包 量 ”发 包 旺 
内 寺 

102423 78400 
v4.0rbuild ee 1356 3099 
b.10.23203) 

3932 26336 
ODay i sa 届 0 


D5:18:47 
- 0D 


内 存 利用 衬 目 ~ 


Cm) 


供应 厂 南 网 神 信息 技术 ( 北 
京 ] 股份 有 限 公司 


特征 庄 版 本 6.96 


CPU 利用 宫 


已 用 日 志 分 区 


图 1-31 成 功 登 录 Web 应 用 防火 墙 设备 


【实验 思考 了】 
如 果 忘 记 admin 的 密码 ,应 如 何 登录 设备 ? 
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114 Web 应 用 防火 场 系统 管理 实验 

【实验 目的 】 

管理 员 可 配置 防火 墙 的 基础 设置 ,如 设备 名 称 、 时 间 等 ,使 Web 应 用 防火 墙 的 名 称 、 
时 间 符 合 实际 业务 的 要 求 。 

【知识 点 了 

主机 名 、 时 间 管 理 

am 

公司 运 维 工程 师 小 王 面临 一 个 问题 ,他 在 检查 Web 应 用 防火 墙 的 日 志 时 ,发 现 日 
ews 比 实际 时 间 快 1 天 ,检查 后 发 现 Web 应 用 防火 墙 的 系统 时 间 不 准确 。 请 帮 小 王 
想 想 办 法 ,如何 调整 Web 应 用 防火 墙 的 系统 时 间 ? 另外 ,如 何 调整 设备 的 名 称 ? 

【实验 原理 】 

Web 应 用 防火 墙 系 统 允 许 管理 员 修 改 系 统 名 称 和 系统 时 间 。 系 统 时 间 支 持 手动 修 
改 和 使 用 时 间 同 步 服 务 间 自动 修改 的 方式 ,本 实验 教 大 家 如 何 通 过 手动 的 方式 修改 系统 
时 间 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 

。 主机 终端 ， Windows XP 主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 1-32 所 示 。 


管理 机 : 10.0.0.* 时 
(以 实际 IP 地 址 为 准 ) GE1:10.0.0.1 


图 1-32 Web 应 用 防火 墙 系统 管理 实验 拓扑 


【实验 思路 】 

(1) 手动 调整 系统 时 间 。 

(2) 修改 系统 的 名 称 。 

【实验 步骤 了 】 

(1) 在 管理 机 打开 浏览 各 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
er //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 

管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 


“系统 配置 "一 “系统 信息 ”, 在 “基本 信息 ”界面 中 查看 信息 ,如 图 1-33 所 示 。 
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盛 admin 是 沁 当 


十 天 本 信息“ 十 日 明和 时 间 


账户 管理 
系统 信息 
午 肉 恢复 

寺 和 警 认 仁 
CNS 有 最 各 器 
CNS 配 吐 系统 档 对 时 间 [ 耸 训 疙 1n 
sMIMF 名 至 
和 远程 管理 
鞠 机 里 启 

负 蔓 保护 
WebLU[ 设 至 


所 村 邮 件 


| 网 总 管理 

是 服务 器 管理 

车 ”基础 对 订 

| Web 防护 
安全 情 摇 中 心 


号 ”访问 控制 


图 1-33 “基本 信息 ”界面 


(3) 修改 基本 信息 。 在 “主机 名 ”中 输入 “Web 应 用 防火 墙 ”, “系统 超 时 时 间 ( 分 钟 )” 
设置 为 11。 单 击 “ 保 存 ” 按 钮 ,如 图 1-34 所 示 。 


态 admin 。 畦 进士 


十 于 本 信忠 ”十 日 明和 和 上 时间 


账户 管理 

系 霸 全 且 sb 应 压 防 沙坪 
音 俗 眉 长 
在 滞 升 声 
和 党 本 朗 置 
CNS 服务 器 
DNS 外 至 天 搞 扫 时 时 间 份 御 | 已 11 
SN MP 本 于 

远程 管理 

关机 重启 

回 肖 焦 笃 

锡 载 保护 

WebUI 设 置 


电子 苑 忻 


局 网 绍 翁 理 
服务 器 管理 

读 县 碘 对 家 
Web 防 护 


安全 币 拒 中心 


和 ”访问 控制 
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本 Web 应 用 防火 墙 技术 及 应 用 实验 指 于 ”RES 


(4) 在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ?按钮 ,返回 “基本 信息 ?界面 。 单 击 上 方 的 
“日 期 和 时 间 ”, 进 入 “日 期 和 时 间 ? 界 面 , 如 图 1-35 所 示 。 


“十 基本 信息 ”十 日 期 和 时 间 


Le | esa 
本 下 方式 


每 统合 县 手工 配置 日 其 /时间 

音 份 估 复 

在 站 升 圾 

三 些 汉 号 3 112335 | 总 


DNS 服务 器 
DNS 配置 
5NMP 可 置 
远程 管 香 
回 深 惊 复 
俯 陈 你 护 
WebUl 设 置 


号 ”网 络 管 理 


有 ”Web 了 脏 扩 
十 安生 情报 中 心 


入 访问 控制 


1-35 “日 期 和 时 间 ” 界 面 


(5) 修改 信息 。 设 置 “ 时 间 ” 为 “00: 00: 00”, 单 击 “ 保 存 ” 按 钮 ,保存 信息 ,如 图 1-36 
所 示 。 


中 其 本 司 县 ”中 日 期 和 时 间 


账户 筷 理 


系统 司 忆 手工 配置 口 期 / 寻 间 
音 埠 局 复 
在 法 升 骸 

吝 警 设 吾 
DNS 服 务 器 
DNS 配 置 
SMMIP 醒 午 
远程 总 理 
关机 重启 
则 深 售 揽 
WebUl 设 置 


己 ”网络 管理 


种 基础 9 这 


矶 Web 防护 
十 安全 情报 中 心 
各 ”访问 控制 


图 1-36 保存 信息 
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(6) 在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,配置 完毕 ， 


【实验 预期 】 
查看 防火 墙 的 基本 信息 和 时 间 。 
【实验 结果 】 


(1) 在 管理 机 打开 浏览 右 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 pl admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 “ 基 
本 信息 ”, 可 见 修改 后 的 信息 ,如 图 1-37 所 示 。 


十 天 本 信号 不 日 天 和 时 介 

系统 呈 本 信息 配 示 
团体 名 租 Web 应 用 防火 墙 
考 市 
EE 


电子 仓 件 


系统 于 时 时 间 吟 钟 ， 避 11 


图 1-37 “基本 信息 ”界面 


(2) 单 击 上 方 的 “日 期 和 时 间 ”, 进 入 “日 期 和 时 间 ?” 界 面 , 可 见 修改 后 的 时 间 , 如 图 1-38 
所 示 。 


【实验 思考 了 
你 知道 怎样 使 用 时 间 服 务 天 配置 防火 墙 的 时 间 吗 ? 


1L1$ Web 应 用 防火 墙 配置 管理 实验 
【实验 目的 】 


管理 员 可 以 对 Web 应 用 防火 墙 的 系统 配置 进行 备份 ,便于 设备 出 现状 况 时 及 时 恢复 
到 正常 工作 时 的 配置 。 
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账户 管理 
二 三 | 
音信 怖 复 
告警 设置 
DNS 乳 务 器 
DNS 王 逢 
sMP 本 下 
远 竹 管理 
法 机 里 启 
回访 恢复 
雏 载 保护 
WiebUl 设 亚 


马 ”网 第 管理 
日 ， 服 各 路 答 理 
用 Web 防护 
十 “安全 情报 中 心 


四” 访 间 控制 


【知识 点 】 


二 基本 信息 ”二 日 期 和 和 时间 


子 了 损 至 日前/ 时间 


于 吉方 式 于 TE 。 ， 


图 1-38 “日 期 和 时 间 ” 界 面 


设备 配置 备份 。 


【 场 票 质 述 】 


A 公司 的 安全 运 维 工程 师 小 王 由 于 误 操 作 , 对 Web 应 用 防火 墙 的 配置 进行 了 修改 ， 
导致 业务 中 断 , 但 是 小 王 又 不 知道 是 哪 一 块 的 配置 有 问题 。 为 了 能 够 在 最 短 的 时 间 内 恢 
复业 务 ,小 王 需 要 对 Web 应 用 防火 墙 执 行 备 份 恢复 操作 ,请 思考 应 如 何 操作 。 


【实验 原理 】 


Web 应 用 防火 墙 管 理 系统 文 持 通过 寻 人 、 导 出 备份 文件 来 对 系统 执行 备份 .恢复 , 提 
供 手动 备份 、 自 动 备 份 两 种 备份 方式 。 


【实验 设备 了 


。 安全 设备 : Web 应 用 防火 墙 设 备 1 台 。 
。 主机 终端 ，Windows XP 主机 1 台 。 


【实验 拓扑 】 


实验 拓扑 如 图 1-39 所 示 。 


【实验 思路 】 


(1) 先 对 WAF 的 配置 进行 备份 ,将 文件 导出 。 
(2) 对 WAF 进行 配置 ,策略 修改 。 


sa 第 1] 章 Web 应 用 防火 墙 基本 配置 ”ma 


管理 机 : 10.0.0.* 
(以 实际 IP 地 址 为 准 ) GE1:10.0.0.1 


图 1-39 Web 应 用 防火 墙 配置 管理 实验 拓扑 


(3) 将 备份 文件 导 人 。 
(4) 对 比 备份 文件 导入 和 导出 之 前 的 配置 。 


【实验 步骤 了 

(1) 在 管理 机 打开 浏览 融 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“系统 配置 ”一 “备份 恢复 ”。 在 “备份 恢复 ”界面 中 , 单 击 “手工 备份 十 ”按钮 ,开始 备份 配 
置 ,如 图 1-40 所 示 。 


本 admin [只 退出 


十 备份 恢复 |asrs | 芋 工 得 份 让 | 动人 + |S^P 
衔 份 立 件 操作 

没有 棕 守 到 数 扰 

系统 信息 
择 愉 恢复 
在 线 升级 
二 警 设 井 
DNS 服务 加 
DNS 配 于 
SNMP 丁 豆 
远程 管理 
关机 重启 
回 漆 恢 怎 
负载 保护 
WebUI 设 辕 


了 3 网 阁 宦 理 


到 1-40 手工 备份 


(3) 在 弹出 的 备份 数据 库 成 功 窗 口中 单 击 “ 确 定 ” 按 钮 ,返回 “备份 恢复 ”界面 ,可 见 已 
备份 的 配置 数据 库 , 如 图 1-41 所 示 。 

(4) 单 击 此 记录 右 侧 的 “导出 ?按钮 ,导出 备份 文件 ,以 后 如 果 出 现 故 障 可 以 赁 此 文件 
恢复 配置 ,如 图 1-42 所 示 。 

(5) 在 弹出 的 界面 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-43 所 示 。 

(6) 文件 保存 到 默认 路 径 , 本 实验 备份 文件 保存 到 茧 面 ,文件 名 是 随机 产生 的 。 如 
图 1-44 所 示 。 


a 


Egg Web 应 用 防火 墙 技术 及 应 用 实验 指导 EGG 


二 admin 以 退 贞 


| me | 手工 各 从 二 | 目 动机 份 十 | |S* 


口 20171720093710,db 


关机 重启 
回 滚 尺 妓 
负载 保护 
WepUI 训 亚 


图 1-41 配置 数据 库 


厚 admin 中 | 
十 备份 估 香 上司 | 手工 音 伍 中 | 白 动 奋 价 中 | | 导入 天 


站 雷 从 支 性 寿 愉 时 间 3 
DD | 20171220093710.db 2017-12-20 09:37411 


1-42 ”导出 备份 数据 
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正在 打开 20180326133429. db 
您 选择 了 打开 : 
划 20180326133429. db 


廊 件 类 型 : 业 File (56.5 IB) 
来 福 : https://f10.0.0.1 


您 起 要 Firefox 如 何 处 理 此 净 件 ?3 


〇 打开 ,通过 四) 
加 保 闻 文件 IJ) 
口 以 后 自动 采用 相同 的 动作 处 理 此 类 文件 。 (&) 


图 1-43 保存 文件 图 1-44 成 功 下 载 备份 文件 


(7) 单 击 面板 左 侧 导 航 栏 中 的 “网 络 管理 ”一 “网 络 接口 ”, 单 击 “ 网 桥接 口 "?。 在 “网 桥 
接口 "界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 网 桥接 口 。 

(8) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12, 其 他 保持 默认 配置 。 

(9) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(10) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(11) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 他 保持 默认 
本 前。 

(12) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 。 同 样 , 在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(13) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(14) 单 击 面 板 左 侧 导航 栏 中 的 “服务 右 管 理 ”>“ 普 通 服务 器 管理 ”。 在 “HTTP 服务 
器 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 ,如 图 1-45 所 示 。 

(15) 在 “增加 HTTP 服务 器 ”界面 中 ,在 “服务 嚣 名称 ”中 输入 “Web 服务 器 ”,“IP 地 
址 ”中 输入 “172. 16. 2. 100/24”,“ 端 口 ”" 中 输入 80 ,设置 “部 署 模式 ?为 “串联 ?防护 模式 ” 
为 “代理 模式 ”接口 ?为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 ,如 图 1-46 所 示 。 

(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “其 他 服务 
内” 列表 界面 ,可 见 已 添加 的 其 他 服务 器 信息 ,如 图 1-47 所 示 。 

(17) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 -Web 防护 策略 ”。 在 “Web 防护 策略 ” 
界面 中 , 单 击 "增加 ?按钮 ,增加 防护 策略 ,如 图 1-48 所 示 。 

(18) 在 “增加 Web 防护 策略 ”界面 中 ,在 "名称 ?中 输入 ”Web 防护 ”, 其 他 保持 默认 配 
置 ,如 图 1-49 所 示 。 
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Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指导 IE 


各 admin 加 退出 


村 HTTP 服务器 ”二 HTTPS 服 务 器 ”十 其 他 服务 器 


| ”服务 器 名 称 下 地 址 
设 有 恰 到 判 对 


图 1-45 增加 服务 器 管理 对 象 


Web 服 务 闹 
172.16.2.100/24 
80 


串联 


接口 * 


启用 * 


1-46 设置 HTTP 服务 器 
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1 章 Web 应 用 防火 墙 基本 配置 


蝇 可 Tin 全 退出 


和 HTTP 服 各 串 ”十 HTTPS 职 务 跨 “十 其 他 服务 器 | sto+ 区 


| | 最 生 器 名 在 TPHtt 
172.16,2.100/24 


图 1-47 成 功 添加 HTTP 服务 器 管理 对 象 


吕 admin 加 迅 汪 


[二 


优先 饭 。 旦 污 自 动 生成 


图 1-48 增加 防护 策略 
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Egg Web 应 用 防火 墙 技术 及 应 用 实验 指导 ESG 


Web 防 护 


Web 服 务 器 


至 


Default Low 


图 1-49 编辑 防护 策略 


(19) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “Web 防护 策 
略 ” 界 面 中 ,可 见 成 功 增加 的 防护 策略 ,配置 完毕 ,如 图 1-50 所 示 。 


Web 脐 护符 上 申 
Web 肪 护 蛋 酸 
Web 防 护 规则 
特 尝 洁 千 晤 


十 ”安全 司 撒 中 心 


局 ”访问 控制 


司 网 而 防 捍 上 
口 ， 反 消 圳 
字 _DDes 防 护 
十 网 站 云 防护 
局 日志 系统 
上 分 怕 系 统 


图 1-50 ”成功 添加 防护 策略 


【实验 预期 】 

通过 配置 备份 文件 成 功 恢复 配置 。 

【实验 结 采 】 

(1) 现在 Web 应 用 防火 墙 有 一 条 名 为 “Web 防护 ”的 安全 策略 。 在 本 地 机 打开 浏览 


名 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 https: //10. 0.0.1”( 以 实际 设备 IP 
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地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 admin， 
单 击 “登录 ?按钮 ,登录 Web 应 用 防火 墙 。 单 击 面 板 左 侧 导航 栏 中 的 “系统 配置 >“ 备份 
恢复 ”, 在 “备份 恢复 ”界面 中 双击 配置 文件 ,如 图 1-51 所 示 。 


本 admin C2 ! 思 填 


| | 手 I 和 H+ | |B 二 s+ | 导入 本 


2017-12-20 0¢37:11 


图 1-51 备份 文件 列表 


(2) 在 弹出 的 “恢复 到 备份 点 ”界面 中 ,可 见 备份 的 配置 文件 的 详细 信息 ,如 图 1-52 
所 示 。 


20171220093710.db 


2017-12-20 09:37:11 


图 1-52 “恢复 至 备份 点 ”界面 


(3) 单 击 “ 恢 复 ” 按 钮 ,系统 会 日 动 重启 ,一 分 钟 后 恢复 配置 ,重新 登录 设备 , 单 击 面板 
左 侧 导 航 栏 中 的 “Web 防护 ”>“Web 防护 策略 ”。 在 “Web 防护 策略 ?界面 中 ,可 见 添加 
的 防护 策略 已 消失 ,说明 设 备 已 恢复 至 备份 点 ,符合 预期 要 求 ,如 图 1-53 所 示 。 

【实验 思考 】 

对 系统 进行 备份 时 ,生成 的 配置 文件 有 哪 两 种 方式 ,各 目的 特点 是 什么 ? 


村 


Web 应 用 防火 墙 技术 及 应 用 实验 指 陡 


品 admin  [ 黑 一 田 


| sio+ | BE 


里 先 颈 是 吾 目 动 生成 


图 1-53 ”恢复 配置 
12 ”对象 党 理 


121 Web 应 用 防火 墙 基础 对 象 配置 实验 


【实验 目的 】 
管理 员 可 以 手动 添加 基础 对 象 , 包 括 Web 主机 对 象 .URL 对 象 、IP 地 址 对 象 , 也 可 
以 根据 自学 习 策略 自动 添加 ,便于 在 配置 Web 防护 策略 时 引用 。 


【知识 点 】 
基础 对 象 .自学 习 、Web 主机 、URL 对 象 IP 地 址 对 象 。 
【场景 摘 述 ]】 


A 公司 安全 运 维 工 程 师 小 王 需要 配置 Web 应 用 防火 墙 Web 防护 规则 、 防 护 策略 。 
由 于 Web 应 用 防火 墙 在 配置 防护 规则 和 策略 时 需要 引用 基础 对 象 , 所 以 小 王 要 想 配 置 
Web 防护 规则 和 策略 ,需要 首先 配置 基础 对 象 ,请 思考 应 如 何 配置 。 

【实验 原理 】 

Web 应 用 防火 墙 将 Web 主机 IP 列表、URL 列表 都 归 为 基础 对 象 资源 ,所 定义 的 对 
象 均 为 全 局 对 象 , 设 置 防护 规则 、 防 护 策 略 、 防 护 规 则 时 可 以 多 次 引用 基础 资源 对 象 , 如 
表 1-1 所 示 。 
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表 1-1 基础 资源 对 象 功 能 


功 能 接 述 

Web 主机 设置 防护 或 不 防护 的 Web 主机 

URL 列表 设置 匹配 或 不 匹配 的 URL 组 

IP 列表 设置 最 长 前 级 匹配 IP 列表 和 优先 级 匹配 的 IP 列表 
【实验 设备 】 


。 安全 设备 : Web 应 用 防火 墙 1 台 。 

。 主机 终端 PC Kali 2.0 主机 1 台 ,Windows7 主机 1 台 ,Windows 2003 SP2 主机 
] 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 1-54 所 示 。 


PC-Kali:172.16.2.200 Web 服 务 器 ， 172.16.2.100 


管理 机 : 10.0.0.* 
(以 实际 IP 地 址 为 准 ) 


图 1-54 Web 应 用 防火 墙 基础 对 象 配置 实验 拓扑 


【实验 思路 】 

(1) 手动 配置 Web 主机 。 

(2) 生成 Web 防护 策略 。 

(3) 手动 配置 URL 列表 。 

(4) 手动 配置 IP 列表 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 带 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“网 络 管理 ”一 “网 络 接 口 ”, 单 击 “ 网 桥接 口 *。 在 “网 桥接 口 ” 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 
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(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ?为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridgel12 ,其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 * 为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 在 “HTTP 服务 
器 ?界面 中 , 单 击 “ 增 加 十 ?按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”, “IP 地 址 ” 
为 "172. 16. 2. 100/24”, “端口 ”为 80, 设 置 “ 部 署 模式 ?为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel2, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 器 ”界面 ,返回 “HTTP 服务 器 ”列表 界面 ,检查 已 添加 的 HTTP 服务 器 信息 。 

(12) 手动 配置 Web 主机 。 单 击 “ 基 础 对 象 一 “Web 主机 ”。 在 “Web 主机 ”界面 中 ， 
单 击 “ 增 加 十 ”按钮 ,增加 Web 主机 对 象 ,如 图 1-55 所 示 。 


+ Web 王 宙 条 件 z | EE | 和 s+ | | Rio 


行 页 显示 15  ， 
| |」 Web 主 机 备注 


图 1-55 ”增加 Web 主机 对 象 
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(13) 在 “增加 Web 主机 ”界面 中 ,在 “Web 主机 ?中 输入 “服务 需 对 象 " ,设置 “归属 服 
务 融 ”为 “测试 服务 帮 ”, 如 图 1-56 所 示 。 


增加 Web 主 机 


Web 主 机 * 服务 器 对 傅 


上 归属 服务 器 测试 服 务 器 


备注 


1-56 “增加 Web 主机 ”界面 


(14) 单 击 “ 保 存 "按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “Web 主机 ” 
界面 。 勾 选 增加 的 “服务 器 对 象 " 复 选 框 , 单 击 “ 生 成 策略 十 ”按钮 ,如 图 1-57 所 示 。 


态 admin 
+ Web 主 机 EL |se2 NE [sas+| |ssre 


每 页 显示 (15 7 


lw| Web 主 机 耕 注 
| |x | | 最 务 器 对 对 


当前 1 - 1 ,总共 1 条 记录 


Wab 主 机 
下 列表 
URI 吕 | 表 


bh We b 防护 


十 安 主 情报 中 心 


四 ”访问 控制 
辣 ”网 后 防 和 最 改 
DD 扫 卉 器 

下 DDos 防 护 
各 ”日 志 系 统 
让 。， 分 析 季 统 


图 1-57 生成 策略 


(15) 在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 主机 ”界面 。 单 击 “Web 
防护 ”一 ”Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 可 见 增加 的 防护 策略 ,如 图 1-58 
所 示 。 

(16) 单 击 “基础 对 象 ” 一 “IP 列表 ”, 在 “IP 列表 ”界面 中 单 击 “增加 十 ”按钮 ,增加 IP 
列表 对 象 ,如 图 1-59 所 示 。 

(17) 在 “增加 IP 列表 ”界面 中 ,在 “名 称 ” 中 输入 “172. 16. 2. 200”, 设 置 “ 动 作 ” 为 “ 匹 
配 ”, 如 图 1-60 所 示 。 
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蝇 admin [中 退出 


十 Web 访 护 繁 略 [tn* | [Bs 


是 否 自 动 生成 


Web 防 护 第 路 
Web 防 护 昼 板 
WE 防护 视 则 
自学 习 第 略 


安全 情 拒 中 心 
访问 控制 
7 网 页 防备 改 
当 描 轩 
DDos 防 护 
十 网 站 云 防 护 
| 日 志 系 统 


自 。， 分 析 藉 统 


1-58 ”成 功 添 加 Web 防护 策略 


量 adrmin [只 通 出 


+ SEE 


| .名称 


Web 主机 
人 列表 
URLl 翅 


Web 防 护 


安全 情报 中 心 


访问 控制 
网 而 防 息 故 
扫 档 吉 
玉 ”CDos 防 护 
网 站 云 防护 
日 志 系 统 


1 于波 法 断 


1-59 增加 IP 列表 对 象 
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图 1-60 设置 IP 列表 


(18) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 IP 列 
表 ” 界 面 中 , 单 击 “增加 十 ”按钮 ,增加 IP, 如 图 1-61 所 示 。 


172.16.2.200 


匹配 


| | 类 型 


图 1-61 增加 IP 


(19) 在 “增加 IP” 界 面 中 ,在 “IP 地 址 ”中 输入 “172. 16. 2. 0”,“ 子 网 掩 码 ” 输 入 “255. 
255. 255. 0”, 其 他 保持 默认 配置 ,如 图 1-62 所 示 。 


172.16.2.0 


299.299.235,.0 


图 1-62 设置 IP 


(20) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “增加 IP 列 
表 ” 界 面 中 , 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “IP 列表 ” 
界面 。 单 击 “ 基 础 对 象 ”->“URL 列表 ”, 在 “URL 列表 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 
URL 列表 ,如 图 1-63 所 示 。 

(21) 在 “增加 URL 列表 ”界面 中 ,在 名称” 中 输入 “172. 16. 2. 200”, 设 置 “ 动 作 ” 为 
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不 UL 列 蛮 


Wab 主 机 
iP 列表 
URL 列 旋 


图 1-63 增加 URL 列表 
“匹配 ”, 单 击 “ 增 加 十 ”按钮 ,增加 URL, 如 图 1-64 所 示 。 


编辑 URL 列 表 


172.16.2.200 


1-64 编辑 URL 列表 


(22) 在 “增加 URL” 界 面 中 ,在 URL 中 输入 “172. 16. 2. 200”, 其 他 保持 默认 配置 ,如 
1-65 所 示 。 


112.16.2.200 


到 1-65 设置 URL 


(23) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “URL 列 
表 ” 界 面 中 ,配置 完毕 。 
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【实验 预期 】 

成 功 添加 了 Web 主机 、IP 列表 和 URL 列表 对 象 。 

【实验 结果 】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密 人 码 admin;, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “基础 对 象 ” 一 ”Web 主机 ”, 在 “Web 主机 ”界面 中 可 见 成 功 添加 的 
Web 主机 对 象 , 如 图 1-66 所 示 。 


证 admin 后 衣 出 


笃 伯 六 | 党 和 中 | 生起 千 咯 中 | 局 条 亿 


备注 


当前 1 - 1 , 总 共 1 条 记录 


Web 主 机 
JP 列表 
URL 到 埃 

吕 Web 护 护 
安全 情报 中 心 

中。 访问 控制 

co 网 页 防 复 改 

扫描 器 

全 ”DDoS 防护 

证” 网 站 云 防护 

二 日 十 系统 

bs 分 析 季 统 


图 1-66 成 功 添加 Web 主机 对 象 

(2) 单 击 “ 基 础 对 象 * 一 “IP 列表 ”, 在 “IP 列表 ”界面 中 ,可 见 成 功 添加 的 IP 列表 对 
象 , 如 图 1-67 所 示 。 

(3) 单 击 “ 基 础 对 象 *> 一 “URL 列表 ”, 在 “URL 列表 ”界面 中 ,可 见 成 功 添加 的 URL 
列表 对 象 ,如 图 1-68 所 示 。 

【实验 思考 了】 

如 何 自动 生成 Web 主机 对 象 ? 

122 WEb 应 用 防火 场 服 务 希 管理 实验 


【实验 目的 】 
管理 员 将 内 网 的 服务 硕 作 为 对 象 添 加 到 Web 应 用 防火 墙 中 进行 管理 ,并 能 够 使 
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芯 admin [中温 出 


二 ]P 列 去 | + | | Eso 


器 和 名称 


Web 主 机 
下 列表 
URLZI 去 


吕 “Web 防 护 
安全 情报 中 心 
引 ”访问 控制 
| 网 页 防 复 改 
， 扫 省 吴 
于 DDos 防 护 
网 站 去 防护 
| 日 志 系 绕 


世系 统 渤 类 


1-67 成 功 添加 IP 列表 对 象 


三 admin [中 通 出 
中 URL 列 于 
国 名 称 


| | | 172.16.2.200 


Wab 主 机 
TP 丈 | 春 
URL 列 表 


] Web 防 护 


安全 情报 中 心 


引 ”访问 控制 


) 网 页 防 第 改 
扫描 吕 
下 口 Dos 防 护 
十 网 站 云 防 护 
所 日 志 系 统 
和 入 析 系 统 


直系 纺 球 世 


图 1-68 成功 添 加 URL 列表 对 象 


Web 应 用 防火 墙 对 服务 硕 对 象 起 到 防护 作用 。 
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【知识 点 】 
对 象 .服务器 、HTTP 服务 器 ,HTTPS 服务 器 .负载 均衡 、 代 理 。 
【场景 摘 述 ]】 


A 公司 有 多 台 Web 服务 需 , 现 在 公司 要 求 将 这 些 服务 顺 加 入 Web 应 用 防火 墙 中 , 实 
现 Web 应 用 防火 墙 对 这 些 Web 服务 占 进 行 保护 。 请 思考 应 如 何 将 这 些 服 务 右 添加 在 
Web 服务 般 中 。 


【实验 原理 】 

Web 应 用 防火 墙 可 以 配置 的 Web 服务 器 包括 普通 服务 器 .负载 均 衡 服 务 器 和 代理 
服务 器 。 根 据 服 务 絮 类 型 的 不 同 ,服务 胡 的 配置 参数 不 同 。 这 里 的 服务 器 可 以 被 Web 防 
护 中 的 Web 防护 策略 和 基础 资源 对 象 中 的 Web 主机 (归属 服务 器 ) 引 用 。 

服务 器 按照 功能 总 共 分 为 3 种 类 型 .普通 服务 髓 .负载 均衡 服务 器 和 代理 服务 舌 。 

(1) 普通 服务 器 : 传统 后 端 被 保护 服务 器 。 

(2) 负载 均衡 服务 器 : 用 于 对 与 后 端 多 个 服务 需 做 集群 负载 均衡 部 署 。 

(3) 代理 服务 器 : 用 于 反 回 代理 模式 ,作为 反 回 代理 服务 需 , 代 理 后 端 真 实 服务 需 进 
行 接收 请 求 。 

服务 器 按照 服务 类 型 分 为 3 种 类 型 : HTTP 服务 器 .HTTPS 服务 器 和 其 他 服务 器 。 

(1) HTTP 服务 器 : 用 于 配置 提供 HTTP 服务 的 服务 器 。 

(2) HTTPS 服务 器 : 用 于 配置 提供 HTTPS 服务 的 服务 器 。 

(3) 其 他 服务 器 : 用 于 配置 提供 其 他 服务 的 服务 此 ,多 用 于 DDos 防护 。 

服务 器 按照 部 署 方式 分 为 两 种 类 型 . 在 线 服务 器 和 离线 服务 器 。 

(1) 在 线 服务 器 : 用 于 WAF 串联 在 网 络 拓扑 中 进行 防护 。 

(2) 离线 服务 器 : 用 于 旁 路 在 拓扑 中 ,通过 镜像 流量 进行 防护 。 

服务 器 按照 防护 模式 分 为 两 种 类 型 . 非 流 检测 模式 和 流 检 测 模式 。 

(1) 非 流 检测 模式 : 对 协议 深度 解析 ,做 内 部 代理 防护 能 力 较 强 。 

(2) 流 检测 模式 基于 TCP 流 检 测 (V6. 0, 该 模式 仅 支 持 特征 库 防护 ) ,支持 离线 

整个 服务 器 支持 类 型 列举 如 表 1-2 所 示 。 

表 1-2 服务 器 支持 类 型 


其 他 普通 服务 器 在 线 模 式 流 检测 模式 
其 他 普通 服务 器 离线 模式 流 检测 模式 


HTTP 普通 服务 器 非 流 检测 模式 
HTTP 普通 服务 器 流 检测 模式 
HTTP 普通 服务 器 流 检测 模式 
HTTPS 普通 服务 器 非 流 检测 模式 
加 本 
模式 
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负载 均衡 HTTP 服务 器 在 线 模式 非 流 检 测 模 式 
代理 HTTP 服务 器 在 线 模式 非 流 检测 模式 
代理 HTTP 服务 器 在 线 模式 非 流 检 测 模式 


服务 器 类 型 在 线 方式 防护 模式 


【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 主机 2 台 ,Windows 7 主机 1 人 台 。 
【实验 拓扑 】 

实验 拓扑 如 图 1-69 所 示 。 


国 - 一 


Web 服 务 大 1 : 172.16.2.200 


Web 服 务 茧 2 : 172.16.2.100 


GE1:10.0.0.1] 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 1-69 Web 应 用 防火 墙 服务 器 管理 实验 拓扑 


【实验 思路 】 

(1) 添加 HTTP 服务 器 对 象 。 

(2) 添加 HTTP 代理 服务 器 对 象 。 
(3) 添加 负载 均衡 服务 需 对 象 。 
(4) 添加 HTTPS 服务 器 对 象 。 


【实验 步骤 了 

(1) 在 管理 机 打开 浏览 问 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “登录” 按钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”一 “网 络 接口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 保留 作为 管理 网 桥 外 ,输入 一 个 不 重复 
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的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ?为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “下 一 步 ? 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “确定 ”按钮 ,再 单 击 “ 增 
加 十 ”按钮 ,增加 IP。 

(5) 在 “接口 IP 地 址 配置 ”界面 中 ,在 “IP 地 址 ”中 输入 “172. 16. 2. 1”,“ 子 网 掩 码 ” 输 
人 “255. 255. 255.0”, 勾 选 “ 管 理 IP” 右 侧 的 复 选 框 , 其 他 保持 默认 配置 。 

(6) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 网 桥接 
口 ”界面 , 单 击 “完成 ”按钮 ,返回 "网 桥接 口 ? 界 面 ,检查 是 否 成 功 添加 接口 bridgel12。 

(7) 单 击 上 方 的 “十 Port 接口 >。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(8) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel12 ,其 他 保持 默认 配置 。 

(9) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 。 同 样 , 在 “Port 接 
口 ?界面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 "为 bridgel2, 其 
他 保持 默认 配置 。 

(10) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返回“Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(11) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 在 “HTTP 服务 
器 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 ,如 图 1-70 所 示 。 


和 HTTP 服务 器 下 HTTPS 服 务 咒 。” 提 其 他 服务 骼 


[| 服 等 需 名 种 JP 地 址 请 口 


普通 服务 器 管理 
负载 均衡 服务 器 管理 
已 理 服务 器 管理 


] Web 防 护 
十 去 全 情报 中 心 
虽 访 引 衬 制 
加 网 下 防 第 改 


已， 扫 拉 于 


图 1-70 增加 服务 器 管理 对 象 


(12) 在 “编辑 HTTP 服务 器 ”界面 中 ,在 “服务 嚣 名称” 中 输入 “测试 服务 器 ”,“IP 地 
址 ”输入 “172. 16. 2.100/24”, “端口 "输入 80, 设 置 “ 部 署 模式 ”为 “串联 ”, “防护 模式 ”为 
“代理 模式 ”, “接口 ”为 bridgel2, 勾 选 “ 启 用 ” 复 选 框 ,如 图 1-71 所 示 。 
(13) 可 以 按照 表 1-3 中 的 描述 编辑 HTTP 服务 需 参 数 。 
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测试 服务 器 
172.16.2.100/24 
80 

率 联 

代理 模式 


bndgel2 


v 


图 1-71 设置 HTTP 服务 器 


表 1-3 HTTP 服务 器 参数 详细 说 明 


配置 项 描 述 
服务 器 名 称 所 配置 服务 器 的 名 称 ,不 能 重复 
IP 地 址 IP 格式 为 xxx. xxx. xxx. xxx/xx 后 两 位 为 掩 码 位 数 , 支 持 网 段 
端口 服务 器 后 端 服 务 端口 
部 署 模式 选择 在 线 模 式 或 者 离线 模式 
流 防 护 模 式 勾 选 ,开启 流 防 护 模 式 ; 不 勾 选 ,禁用 流 防护 模式 
接口 选择 服务 器 所 在 网 桥接 口 
阻 断 接口 用 于 离线 模式 选择 发 阻塞 报 文 的 接口 
启用 是 否 启 用 配置 


(14) 单 击 “保存 ”按钮 保存 配置 ,配置 完毕 。 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管 
理 ”>“ 代 理 服 务 群 管理 ”, 在 “HTTP 代理 服务 天 ”界面 中 , 单 击 “增加 十 ?按钮 ,增加 代理 
服务 器 ,如 图 1-72 所 示 。 

(15) 在 “增加 HTTP 代理 服务 器 ?界面 中 ,在 “服务 器 名 称 ” 中 输入 "代理 服务 顺 ”， 
“IP 地 址 ”输入 “172. 16. 2. 10/32” “端口 ?输入 80“ 后 端 服 务 器 ?设置 为 “测试 服务 需 ”， 
“接口 ”设置 为 bridgel12 ,其 他 保持 默认 配置 ,如 图 1-73 所 示 。 

(16) 可 按照 表 1-4 中 的 描述 编辑 代理 服务 天 人 参数。 

表 1-4 代理 服务 器 参数 详细 说 明 
配置 项 描 述 
服务 器 名 称 ”| 所 配置 服务 器 的 名 称 , 不 能 重复 

IP 格式 为 XXXx.XxXxx.xXxXxXxxXx.XxXxXxxXx/xXxxX 后 两 位 为 掩 码 位 数 ,WAF 代理 使 


用 的 IP 地 址 
端口 代理 使 用 的 端口 
后 端 后 端 需要 被 代理 的 服务 器 
接 选择 代理 IP 所 在 的 接 
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号 ”日 志 系 统 
起 。 分 析 东 统 


图 1-72 ”增加 代理 服务 器 


代 过 有 版 务 栈 
172.16.2.10/32 
80 


测试 服务 六 


bndgel2 
| 


图 1-73 “增加 HTTP 代理 服务 器 ”界面 


(17) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,配置 完毕 。 单 击 
面板 左 侧 导 航 栏 中 的 “服务 器 管理 ”->“ 普 通 服 务 嚣 管理”, 在 “HTTP 服务 器 ”界面 中 再 次 
单 击 “ 增 加 十 ”按钮 ,在 弹出 的 “增加 HTTP 服务 器 ”界面 中 ,在 “服务 器 名 称 ” 中 输入 “测试 
服务 器 2”,“IP 地 址 ”输入 “172. 16. 2. 200/32”, “端口 ?输入 80,“ 接 口 ” 设 置 为 bridgel2, 其 
他 保持 默认 配置 ,如 图 1-74 所 示 。 

(18) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “HTTP 服务 
器 ”界面 ,可 见 成 功 增加 的 HTTP 服务 器 对 象 ,如 图 1-75 所 示 。 

(19) 单 击 面 板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “负载 均衡 服务 器 管理 ”, 在 “负载 均 
衔 服务 器 管理 ?界面 中 , 单 击 “增加 ?按钮 ,如 图 1-76 所 示 。 
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172.16.2.200/32 


80 

里 联 
代理 模式 
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1-74 “增加 HTTP 服务 器 ”界面 


在 HTTP 服务 加” 站 HTTPS 服 笠 露 ”中 其 他 服 务 里 


图 1-75 成 功 添 加 HTTP 服务 器 


位 于 均 物 服 务 旧 苇 于 


闸 ” 革 础 对 条 

IL Web 防护 
十 ”安全 情报 中 心 
昌 ”访问 控 币 
加 ”网 页 防 复 改 
口 扫 挡 品 

于 DDos 防 护 


十” 网站 去 防护 


图 1-76 增加 负载 均衡 服务 髓 
(20) 在 “增加 HTTP 负载 均衡 服务 器” 界面 中 ,在 “服务 右 名 称 ” 中 输入 “负载 服务 
化” 端口 ?输入 80 接口 ?设置 为 bridgel2, 其 他 保持 默认 配置 ,如 图 1-77 所 示 。 


增加 HTTP 负 载 均 稳 服 务 咒 


代理 模式 


本 


图 1-77 “增加 HTTP 负载 均衡 服务 器 ?界面 


(21) 按照 表 1-5 中 的 描述 编辑 负载 均衡 服务 甫 参数。 
表 1-5 负载 均衡 服务 器 参数 详细 说 明 
EE 
服务 器 名 称 | 所 配置 
端口 服务 器 后 端 服务 端口 可 选 轮 询 算法 或 者 源 地 址 Hash 算法 
防护 模式 | 选择 代理 模式 启用 是 否 启用 配置 


指 述 


45 


Egg Web 应 用 防火 墙 技术 及 应 用 实验 指导 IE 


(22) 单 击 “下 一 步 ” 按 钮 , 单 击 “增加 ”按钮 ,增加 服务 器 对 象 , 如 图 1-78 所 示 。 


增加 负载 均衡 组 成 员 


志恒 i 
w 2 


负载 均衡 组 成 员 


Ex 


| 服务 器 名称 
没有 检索 到 数据 


Cl 却 成 G) 


图 1-78 增加 服务 器 对 象 
(23) 在 “增加 负载 均 衔 组 成 员 ” 界 面 中 “服务 需 组 成 员 ” 设 置 为 “测试 服务 器 2”“ 权 
重 ” 输 入 5， 代表 服务 髓 ?设置 为 “是 ”, 如 图 1-79 所 示 。 
增加 负载 均衡 组 成 员 
服务 器 组 成 员 * 测 志 服务 器 


梳 重 * 5 


图 1-79 “增加 负载 均衡 组 成 员 ” 界 面 


(24) 按照 表 1-6 中 的 描述 编辑 负载 均衡 组 成 员 参 数 。 
表 1-6 ”负载 均衡 组 成 员 参 数 详细 说 明 


配置 项 描 述 
服务 器 组 成 员 | 选取 后 端 需要 负载 的 成 员 服 务 器 
权重 配置 后 端 负载 服务 器 的 权重 ,数值 越 大 权重 越 高 
代表 服务 器 代表 服务 占 : 配置 所 选 服务 器 是 否 为 代表 服务 器 ,决定 是 否 适 用 该 服务 器 地 址 作为 


访问 地 址 


(25) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 负载 均 
衡 组 成 员 ” 界 面 , 单 击 “ 增 加 十 ”按钮 ,在 弹出 的 “增加 负载 均衡 组 成 员 ” 界 面 中 , “服务 右 组 
成 员 ” 设 置 为 “测试 服务 右 2”, “权重” 输入 5， 代表 服务 久 ? 设 置 为 "是 ”, 如 图 1-80 所 示 。 
(26) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 负载 均 
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增加 负载 均衡 组 成 员 


ER 测试 服务 器 2 


图 1-80 “增加 负载 均衡 组 成 员 ” 界 面 
衡 组 成 员 ” 界 面 ,可 见 成 功 增加 的 雏 载 均衡 组 成 员 , 如 图 1-81 所 示 。 


增加 负载 均衡 组 成 员 


[可 
w 第 一 步 


负载 均衡 组 成 员 


| 增加 + | 局 新 人 


图 1-81 “增加 负载 均衡 组 成 员 ” 界 面 


(27) 单 击 "完成 ?按钮 ,返回 “负载 均衡 服务 器 管理 ?界面 。 设 置 远程 管理 IP。 单 击 面 
板 左 侧 导 航 栏 中 的 “系统 配置 ”一 “远程 管理 ”, 在 “远程 管理 ”界面 中 , 单 击 “ 增 加 ”按钮 , 增 
加 远程 管理 IP, 这 个 IP 是 登录 管理 Web 应 用 防火 墙 设备 的 管理 员 的 计算 机 的 IP, 如 
图 1-82 所 示 。 

(28) 在 “增加 新 的 远程 许可 IP 地 址 ”界面 中 ,在 “IP 地 址 ?中 输入 "172. 16. 2. 200”， 
“ 子 网 掩 码 ”输入 “255. 255. 255. 0”, 勾 选 “ 是 否 人 允许 Web”“ 是 否 允 许 Ping” 复 选 框 ,如 
图 1-83 所 示 。 

(29) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “远程 管理 ” 
界面 ,可 见 成 功 添加 的 远程 管理 IP, 如 图 1-84 所 示 。 

(30) 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 ”一 “WebUI 设置 ”, 在 界面 中 单 击 “ 重 启 
Web 服务 ”, 如 图 1-85 所 示 。 

(31) 在 此 界面 中 , 单 击 “ 确 认 ” 按 钮 ,在 弹出 的 确定 界面 中 单 击 OK 按钮 ,5 秒 钟 后 , 返 
回 登 录 界 面 ,配置 完毕 ,如 图 1-86 所 示 。 
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六 后 对 公理 x yy DD Web 应 用 防火 坪 VE x 
二 已 页 不 安全 | bE//192.168.1.40 并 /systemjremote/remotelist/ 


以 八 


喜 agmin Cc, 退出 


+ 远程 公理 | sra 


子 网 淹 全 Pingaaitt 
YES 
YES 


IP 地 址 
100.0.1 D505.255.0 


] 192.168.1.40 255.255.0.0 


DNS 服务 强 
DNS 配 百 
sNMP 配 车 


1-82 增加 远程 管理 IP 


增加 新 的 远程 许可 IP 地 址 


IP 地 址 * 
子 网 挤 码 255.255.255.0 


是 天 多 许 $S9H 
星 否 光 许 Web 
是 天 允许 Ping 


图 1-83 “增加 新 的 远程 许可 IP 地 址 ”界面 


] 10001 255.255.2550 


] 1 最 1 和 255255.00 
| 172.162.200 255.255.2550 


1-84 ”成功 添加 远程 管理 IP 
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可 admin ”人 因 退出 


+ 名 Pa 四 


-Ea 
警告; 


1.。 读 功能 特 重启 web 服 务 ! 
账户 管理 


系统 信息 
备份 恢复 
在 竺 升 级 
告警 设 各 
DNS 服务 串 
DNS 配 置 
SNMP 配 置 
远程 管理 
关机 更 启 
回 湾 恢复 
负 埠 保护 
[evs] 
网 络 管理 
目 ” 服 务 吴 管理 


二 圭 而 对 总 


-85 “重启 Web 服务 ”界面 
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图 1-86 重启 成 功 


【实验 预期 】 

(1) 成 功 配置 普通 服务 器 对 象 。 
(2) 成 功 配置 代理 服务 人 怖 对 象 。 
(3) 成 功 配置 负载 均衡 服务 器 。 
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【实验 结果 】 

1) 成 功 配 置 普通 服务 融 对 和 象 

在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 全 地 址 “https://10.0. 
0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 
“服务 带 管 理 ”>“ 普 通 服务 右 管 理 ”, 在 “HTTP 服务 器 ”界面 中 可 见 成 功 添 加 的 服务 天 ， 
如 图 1-87 所 示 。 


唱 admin [uh 退出 


+ HTTP 服 务 器 ”十 HTTPS 服 务 器 ”十 其 他 服务 器 | so+ | | as 


| | 服务 器 名 称 IF 地址 端口 二 接口 启用 
| ] 测试 服务 器 172.16.2.100/24 | 80 = bridge12 开局 


负载 均衡 服务 器 管理 
代理 服务 器 管理 


图 1-87 成 功 添加 HTTP 服务 天 


2) 成 功 配置 代理 服务 器 对 象 

在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 “https://10. 0. 
0. 1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导航 栏 中 的 
“服务 器 管理 ”~“ 代 理 服 务 器 管理 ” ,在 “HTTP 代理 服务 器 ?界面 中 可 见 成 功 添加 的 代理 
服务 器 ,如 图 1-88 所 示 。 

3) 成 功 配置 负载 均衡 服务 器 

在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 卫 地 址 “https://10. 0. 
0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 依 次 单 击 面板 左 侧 导航 栏 
中 的 “服务 器 管理 ”负载 均衡 服务 器 管理 ,在 “负载 均衡 服务 器 管理 ?界面 中 可 见 成 功 
添加 的 负载 服务 器 ,如 图 1-89 所 示 。 
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图 1-88 代理 服务 器 列表 


郁 admin 办 退出 
十 负载 均 睡 服务 话 管 理 \ 二 二 | = 一 


| _| 服务 器 名 称 启用 
| | 负载 服务 塘 bridge12 元 高 


音调 服务 器 管理 
负 蕊 均衡 服务 二 管理 
代理 乳 务 器 管理 


二 ”其 础 对 宗 


I Web 防护 


十 安全 居民 中 心 


号 ”访问 控制 
的 ”网 页 防 复 改 
局 ， 扫 质 器 

下 DDo5 防 护 


定 网 站 去 防护 


1-89 ”负载 均衡 服务 器 列表 


4) 成 功 配 置 HTTPS 服务 器 
(1) 进入 实验 对 应 的 实验 拓扑 ,登录 左 侧 “Web 服务 器 1”, 如 需 输入 密码 ,请 输入 
123456 ,如 图 1-90 所 示 。 
(2) 在 虚拟 机 打开 火狐 浏览 器 , 在 地 址 栏 中 输入 “https: //172. 16. 2. 1” ,登录 Web 
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Web 服 务 器 1 ，172.16.2.200 Web 服 务 器 2 : 172.16.2.100 


GE1:10.0.0.1 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 1-90 ”实验 拓扑 图 


应 用 防火 墙 。 输入 管理 员 用 户 名 admin, 密 码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防 
火 墙 ,如 图 1-91 所 示 。 


图 1-91 Web 应 用 防火 墙 登录 界面 


(3) 登录 Web 应 用 防火 墙 设 备 后 ,依次 单 击 左 侧 的 “服务 融 管 理 ? 一 "普通 服 务 需 管 
理 ”>“ 增 加 ”, 增 加 一 台 HTTPS 服务 器 ,如 图 1-92 所 示 。 

(4) 在 增加 HTTPS 服务 器 界面 中 ， 服 务 需 名 称 ” 输 入 ”HTTPS 服务 器 ”,“IP 地 址 ” 
输入 “172. 16. 2. 200/24?, “端口 ?输入 443， 部 署 模式 ?设置 为 “串联 ”防护 模式 ?设置 为 
“代理 模式 ”,“ 接 口 ? 设 置 为 bridge12, “ssl 站 点 窗 钥 ”和 “ssl 站 点 证 书 ” 设 置 为 桌面 上 的 
certreq. key 和 https. crt 文件 。 其 他 保持 默认 配置 ,如 图 1-93 所 示 。 
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第 1 人 草 Web 应 用 防火 墙 基本 配置 IE 


中 HTTP 妥 务 语 | 村 HTTPS 服 务 器 上 只 天 做 骤 务 匡 


| 重 委 亢 澳 诛 IF 她 幅 
这 有 肝素 到 术 垦 


得 服务 关 管 理 ee | 


普通 脐 轩 器 岂 坚 


高 郝 瞎 狐 股 务 围 曾 杏 
代理 甩 务 露 章鱼 


三 基础 对 加 


员 Web 随 护 

” 安全 情 早 中心 
箭 疝 控制 

站 网 页 防 莫 改 
要 虞 内 
DDos 防 入 


图 站 云 防护 


1-92 HTTPS 服务 器 列表 界面 


增加 HTTPS 服 务 器 
服务 医 名 称 + 
We 
删 口 * 一 一 一 一 一 

辑 署 攀 式 “ 

防 炉 棉 式 * 


接口 * 


到 引 钻 点 密 铜 * [eey) 


所 引咎 南 证 韦 * Cert) 

协 广 旧型 * So Lv ww SSLv3 “| TILSw1 
TLSv1.1 Iw) TLSv1.2 

会 请 重 周 = 

启用 寺 


1-93 ”添加 HTTPS 服务 器 


(5) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,系统 返回 HTTPS 
服务 需 列 表 界 面 。 可 以 看 到 新 添加 的 HTTPS 服务 器 ,如 图 1-94 所 示 。 
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ce || * 癌 | 自 加 半月 外 


暑 吕 器 管区 


普通 股 专 器 叔 理 
甸 喜 均 击 司 务 峰 曾 理 
你 理 服务 器 普 理 


告 反而 对 蔓 

用 Web 防 蔓 

下 窒 主 情报 中 心 
三 壕 侣 往 抽 

二 网 页 防 芒 改 

了 扫 尚 器 

了 CDos 防 护 

下 网 站 去 防护 
号 日 志和 隶 证 

直 ， 分 析 系 证 


至 镍 沪 断 


1-94 新 添加 的 HTTPS 服务 器 
【实验 思考 】 


(1) 当 有 多 人 台 服 务 器 时 ,负载 均衡 组 成 员 的 代表 服务 器 应 该 如 何 选择 ? 
(2) 是 否 需 要 配置 远程 管理 IP? 
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第 2 营 
下 Web 应 用 了 防火墙 安 全 
防护 应 用 


Web 应 用 防火 墙 通过 多 种 机 制 的 安全 防护 手段 保障 Web 应 用 系统 的 正常 运行 ， 
Web 应 用 防火 墙 可 以 提供 Web 防护 .HTTP 协议 校 验 和 访问 控制 、 防 爬虫 和 盗 链 、CSRE 
防护 .文件 上 传 下 载 检测 和 敏感 信息 过 滤 等 功能 :同时 还 能 提供 网 站 页 面 防 算 改 和 Web 
网 站 服务 器 DDoS 攻击 防护 。 

本 曹 首先 介绍 Web 应 用 防火 墙 安全 防护 实验 ,主要 介绍 Web 应 用 安全 防护 系统 系列 
安全 解决 方案 的 各 类 规则 ,策略 的 详细 配置 信息 ,在 依次 配置 好 防护 规则 一 防护 模板 习 防 护 
策略 之 后 ,引用 先前 已 经 配置 好 对 象 即 可 使 Web 应 用 防火 墙 的 防护 功能 生效 ,使 对 象 得 到 
保护 ;再 介绍 DDoS 防护 实验 ,主要 介绍 IP 防护 、TCP 防护 、UDP 防护 和 HTTP 防护 四 种 防 
护 实验 ;最 后 介绍 网 站 主页 防 算 改 实验 ,介绍 主页 防 算 改 服务 器 配置 和 主页 防 算 改 实验 。 


2.1 Web 防护 


211 Web 应 用 防火 墙 Web 防护 实验 
【实验 目的 】 

(1) 制定 多 种 针对 不 同类 型 服务 器 的 通用 防护 模板 。 
(2) 根据 服务 器 的 特点 ,为 服务 器 添加 防护 模板 。 
【知识 点 了 】 

Web 防护 模板 、Web 防护 策略 。 


【场景 摘 述 了】 

A 公司 运 维 工程 师 小 王 在 掌握 了 服务 占 管 理 和 基础 对 象 配 置 后 ,需要 配置 Web 应 用 
防火 墙 的 防护 策略 。 小 王 通 过 查阅 产品 手册 得 知 , Web 防护 策略 还 需要 与 模板 配合 ,在 
配置 Web 防护 策略 之 前 ,需要 生成 一 个 模板 ,请 思考 应 如 何 操作 。 

【实验 原理 】 

Web 应 用 防火 墙 的 安全 防护 功能 是 通过 策略 的 方式 实现 的 。WAF 面向 被 防护 的 对 
象 制定 统一 的 策略 ,策略 引用 Web 防护 模板 ,Web 防护 模板 包含 自 定 义 防 护 规则 和 预定 
义 特征 库 规 则 。 
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防护 策略 、Web 防护 模板 和 防护 规则 的 关系 图 见 图 2-1 。 


Web 防 护 昌 上 略 


Web 防 护 模板 


地 可 SrdTLILH 


En 
[me 


工 
一 
9 
协 
议 
校 
对 
规 
册 | 


ER 
演 洁 刻本 站 二 下 5 于 


图 2-1 策略 .模板 .规则 关系 图 


自 定 义 防 护 规则 包括 HTTP 协议 校 验 规则 、HTTP 访问 控制 规则 、 特 征 防 护 规则 、 
有 息 忠 防护 规则 防盗 链 规则 ,、 防 里 站 请 求 伪 造 规则 文件 上 传 规则 ,文件 下 载 规则 ,敏感 信 
息 检 测 规则 。 

预定 义 特征 库 规则 是 根据 系统 日 市 的 特征 库 规则 来 设置 防护 规则 。 

Web 防护 的 配置 流程 如 图 2-2 所 示 。 配 置 Web 防护 策略 时 直接 引用 服务 器 对 象 、 
Web 主机 对 象 、IP 对 象 和 Web 防护 模板 即 可 生效 。 


配置 服务 器 对 象 


配置 Web 主 机 /配置 耻 列 表 


“是 否 配置 自 定义 防护 规 
则 或 预定 义 特征 库 规则 


号 


配置 目 定 义 防 护 规则 或 预定 义 特征 库 规 则 


配置 Web 护 护 模板 
配置 Web 咏 护 绩 上 略 


图 2-2 Web 防护 配置 流程 图 


Web 防护 模板 定义 了 Web 防护 的 详细 规则 ,包括 基本 配置 Web 防护 规则 设置 和 应 
用 与 防护 设置 。 配 置 Web 防护 策略 可 以 多 次 引用 Web 防护 模板 。 
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【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 : Windows Server 2003 主机 1 台 ,Windows XP 主机 1 台 , Windows 7 
主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-3 所 示 。 


恒 j 一 一 一 一 一 \、 
二 WAF 


74CMS:172.16.2.200 


Web 服 务 器 ,172.16.2.100 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-3 Web 应 用 防火 墙 Web 防护 实验 拓扑 


【实验 思路 】 
(1) 手动 添加 一 个 Web 防护 模板 。 
(2) 在 Web 防护 策略 中 将 Web 防护 模板 应 用 到 服务 器 ，。 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
和 人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“网 络 管理 ”>“ 网 络 接 口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ”* 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ” 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12, 其 他 保持 默认 配置 。 

(4) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,成 功 添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 >。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridgel2 ,其 他 保持 默认 配置 。 

(7) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
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他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 中 ,检查 GE2、GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 单 击 上 方 的 
“HTTP 服务 器 ”。 在 “HTTP 服务 器 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16.2.100/24”,“ 问 口 ” 为 80, 设 置 “ 部 署 模式 ”为 "串联 2， 防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel2, 勾 选 ^ 启 用 ” 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 器 ”界面 ,返回 “HTTP 服务 器 ?列表 界面 ,可 见 已 添加 的 HTTP 服务 器 信息 。 

(12) 进入 管理 系统 主页 面 , 单 击 “Web 防护 ?一 ”Web 防护 模板 ”, 进 入 Web 防护 模 
板 管理 界面 ,如 图 2-4 所 示 。 


志 admin 大 退 出 


中 Web 防护 棕 板 | 增加 中 区 


名 称 

Default Low 
Default viddle 
Default High 
Default Monitor 


Web 防 护 第 略 


WWeb 防 护 找 则 

月 学习 生 略 
二 空 宇 情 报 中 心 
号 访问 控制 


呆 网 页 防 复 收 


图 2-4 ”Web 防护 模板 管理 界面 
(13) 单 击 “ 增 加 ”按钮 ,增加 一 个 Web 防护 模板 ,如 图 2-5 所 示 。 


二 Web 防护 模板 


名 称 

Default Low 
Default Middle 
Default High 


Default bonitor 


图 2-5 增加 一 个 Web 防护 模板 


(14) 弹出 “增加 Web 防护 模板 ”界面 ,如 图 2-6 所 示 。 
(15) 编辑 Web 防护 模板 名 称 。 然 后 根据 需要 ,在 各 项 规则 中 选择 已 定义 好 的 规则 
模板 ,如 图 2-7 所 示 。 
(16) 编辑 完成 后 , 单 击 “ 保 存 ” 按 钮 ,保存 配置 。 配 置 Web 防护 策略 。 进 入 管理 系统 主 
页 面 , 单 击 *“Web 防护 ”>“Web 防护 策略 ”, 进 入 Web 防护 策略 管理 界面 ,如 图 2-8 所 示 。 
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Custom Standard 


备注 


增加 Web 防 护 模板 HTIP 协 议 校 验 规 则 Default Monitor 


和 名称 “ HTTP 访 间 控 制 规 则 


dei 
1/ 王 
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特征 防护 规则 Default Monitor 
HTTP 协 议 校 验 规 则 
HTTP 访 问 控制 规则 
特征 防护 规则 空 有 起 虫 防护 规则 = 
安全 情报 中 心 规则 防盗 链 规 则 | 
算 虫 防护 规则 

次 链 规 则 

防 禾 站 请 求 伪造 规则 
文件 上 传 规则 区 件 上 下载 规 则 


安全 情报 中 心 规则 


空 
防 蜂 丫 请 求 伪造 规则 


这 忻 上 传 规则 


文件 下 载 规 则 敏感 信息 检测 规则 
敏感 信息 检测 规则 


吉 密 始 答 滥 规 则 


gg 


图 2-6 “增加 Web 防护 模板 ”界面 图 2-7 编辑 Web 防护 模板 参数 


弱 窗 人 妈 检 测 规 则 


本 admin 加 退出 
二 Web 防 护 第 中 | 阅 吉 二 | 


名 积 : Web 防 护 楼 板 访问 日 志 启用 
演 有 检索 天 财 ( 扬 


Web 肪 护栏 杷 
Web 肪 护 规 则 
白 学 习 钙 暑 
安 主 情报 中 心 
号 ”访问 近 制 
部” 网 页 防 自 改 


图 2-8 Web 防护 策略 管理 界面 


(17) 单 击 “增加 ”按钮 ,增加 一 个 Web 防护 策略 ,如 图 2-9 所 示 。 


二 Web 防护 和 著 略 


名 称 


图 2-9 增加 Web 防护 策略 
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(18) 弹出 策略 配置 界面 ,根据 需要 编辑 Web 防护 策略 ,输入 "名称 ”为 ”Web 防护 策 
星 ”, “服务器 ”设置 为 “测试 服务 器 ”, “Web 防护 模板 ”设置 为 “Custom Standard”,“ 访 问 
志 ” 设 置 为 “开启 ”, “优先 级 ”输入 1 , 勾 选 “局 用 ” 复 选 框 ,如 图 2-10 所 示 。 


增加 Web 防 护 策 略 
名 称 * Web 防 护 策 略 
er 测试 服务 器 
Web 主 机 合 -- 请 输入 或 选择 -- 
源 Ip 区 


Web 防 护 模板 


Custom Standard 


访问 日 志 开启 


优先 级 * 全 (0~10000) 


启用 v 


图 2-10 策略 配置 界面 


(19) 配置 Web 防护 策略 的 详细 参数 说 明 如 表 2-1 所 示 。 
表 2-1 配置 Web 防护 策略 详细 参数 说 明 


配置 项 描 述 
名 称 自 定义 Web 防护 策略 名 称 
服务 器 选择 普通 服务 器 .负载 均衡 服务 器 或 代理 服务 器 对 象 
本 选择 Web 主机 或 直接 输入 主机 名 。Web 主机 可 以 为 空 ,为 空 表示 防护 服务 器 
上 所 有 Web 主机 
源 IP 选择 IP 列表 对 象 ,设置 匹配 策略 的 数据 包 源 IP 
Web 防护 模板 “| 选择 Web 防护 模板 
开启 ,记录 访问 日 志 ; 
可 日 志 、 E 
WH 关闭 ,不 记录 访问 日 志 
自 定 义 Web 防护 策略 的 优先 级 。 优 先 级 数 越 小 ,优先 级 别 越 高 ,优先 级 别 由 1 
优先 级 至 10 000 逐 级 递减 ,优先 级 可 重复 , 当 两 条 数据 优先 级 一 致 时 , 则 按照 添加 数 
据 的 顺序 决定 优先 级 顺序 


禁用 , 禁用 Web 防护 策略 


是 否 启 用 
(20) 编辑 完成 后 , 单 击 “确认 ”按钮 ,保存 配置 即 可 生效 。 
【实验 预期 】 
配置 Web 防护 模板 和 防护 策略 后 ,Web 应 用 防火 墙 中 显示 新 的 Web 防护 模板 和 防 


第 2 章 Web 应 用 防火 墙 安全 防护 应 用 mw 


护 策 略 。 


【实验 结果 】 
(1) Web 防护 模板 中 增加 了 一 个 名 称 为 “Custom Standard” 的 防护 模板 ,如 图 2-11 
所 示 。 


态 admin 人 扯 授 出 


Se 十 Web 防护 檬 板 

0 ”系统 配置 pe 

馈 网络 管理 | Default Low 
| Default Middle 

Se | | Default High 


入 其 础 对象 国 Default Monitor 
L] Custom Standard 
有 Web 防护 
Web 防 护 第 枸 
Web 防 护 模板 
Web 防 护 规则 
自学 习 第 略 


图 2-11 新 增 防护 模板 


(2) Web 防护 策略 中 增加 了 一 个 名 称 为 “Web 防护 策略 ”的 防护 策略 ,并 应 用 了 
“Custom Standard” 防 护 模 板 ,如 图 2-12 所 示 。 


中 Web 防护 殴 酷 


名称 服务 昌 Web 主 机 。 要 IP 
web 防护 第 本 到 二 服务 器 。 空 


Wap 防护 第 酷 
Web 护 护 横 板 
Web 防 护 规则 
自学 习 科 后 


图 2-12 新 增 Web 防护 策略 


【实验 思考 了 
本 将 Web 防护 策略 前 ,除了 需要 配置 Web 防护 模板 ,还 需要 准备 什么 ? 


212 Web 应 用 防火 场 HP 协议 校 验 实 验 


【实验 目的 】 
针对 Web 服务 天 面临 大 量 畸 形 的 HTTP 协议 数据 包 的 网 络 攻击 ,通过 配置 Web 防 
护 策略 和 Web 防护 模板 实现 对 网 络 攻击 的 防护 。 
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【知识 点 】 
HTTP 协议 校 验 。 
【场景 朱 述 ]】 


A 公司 运 维 工程 师 小 王 面临 一 个 问题 ,他 通过 监控 软件 发 现 公 司 的 Web 服务 器 带宽 
出 现 异常 满载 ,导致 Web 服务 器 无 法 正常 运行 。 小 王 通 过 抓 取 数 据 包 发 现 大 量 畸 形 的 
HTTP 协议 数据 包 。 请 思考 小 王 应 如 何 操作 才能 使 得 公司 Web 服务 髓 免 受 网 络 攻击 
威胁 。 


【实验 原理 】 

HTTP 是 超 文本 传输 协议 (Hypertext Transfer Protocol) 的 简称。 它 用 来 在 Internet 上 
传递 Web 页 面 信息 ,如 果 大 量 畸 形 的 HTTP 协议 数据 包 攻 击 服务 右 ,会 影响 服务 如 对 正 
稼 请 求 的 反应 速度 ,严重 的 会 造成 服务 需 缓 冲 区 洲 出 或 者 服务 需 准 痪 。 

添加 HTTP 协议 校 验 防护 规则 ,可 以 设置 HTTP 协议 包头 各 字段 的 长 度 限 值 . 控 抽 
主体 和 控制 源 。 当 客户 端 向 服务 一 发 起 请 求 时 ,WAF 引擎 获取 标准 数据 包头 中 的 数据 ， 
对 源 IP 对 象 回 服 务 需 IP 对 象 的 请 求 进 行 校 验 ;将 规则 中 设 定 了 限 值 的 实际 值 和 设 定 限 
值 比较 ,如 果 大 于 限 值 则 说 明 可 能 遭受 畸形 HTTP 协议 包 攻 击 。 同 时 也 可 以 检查 HTTP 
的 版 本 号 和 请 求 方法 ,HOST 域 是 否 为 空 ,POST 请 求 消息 报头 中 的 content_length 是 否 
为 空 等 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 : PC Kali 2.0 主机 1 台 ,Windows Server 2003 SP2 主机 1 台 ,Windowsy7 主 

机 1 人 台 。 
【实验 拓扑 】 
实验 拓扑 如 图 2-13 所 示 。 


-二 
TA4CMS:172.16.2.200 


[所 | GE2 | 


Web 服 务 彰 : 172.16.2.100 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-13 Web 应 用 防火 墙 HTTP 协议 校 验 实验 拓扑 
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【实验 思路 】 

(1) 设置 HTTP 协议 校 验 规则 。 

(2) 增加 Web 防护 模板 ,引用 HTTP 协议 校 验 规则 。 

(3) 增加 Web 防护 策略 ,引用 Web 防护 模板 。 

(4) Web 防火 墙 识 别 超 长 参数 的 URL 访问 并 产生 攻击 日 志 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 融 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
cation dking heared leigh 

管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“网 络 管理 ?网络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridgel12, 其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 确定” 按钮。 同样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ?按钮 。 返 回 “Port 接口 ” 
界面 中 ,检查 GE2、GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 "一 “普通 服务 器 管理 ,在 "HTTP 服务 
髓 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16. 2.100/24”, “端口 ”为 80 ,设置 “部 署 模式 ”为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 启 用 ”的 复 选 框 ，。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 器 ?界面 ,返回 ”HTTP 服务 需 ? 列 表 界 面 , 可 见 已 添加 的 HTTP 服务 器 信息 。 

(12) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”>“Web 防护 规则 ”~ “HTTP 协议 校 
验 规则 ”, 在 “HTTP 协议 校 验 规则 ”界面 中 双击 “Default Monitor”, 如 图 2-14 
所 示 。 

(13) 在 “编辑 HTTP 协议 校 验 规则 ”界面 中 ,可 见 “ 参 数 个 数 ” 的 “参数 值 ” 为 “16”, 保 
持 默 认 配 置 ,如 图 2-15 所 示 。 

(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 协议 校 验 规则 成 功 界面 中 单 击 “确定 ”按钮 , 关 
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量 admin ”| 只 退出 


十 HTTP 协议 校 验 规 则 | 全 n+ | 2 


| 名称 URL 最 大 长 度 cookies 服 大 长 度 请求 行 最 大 长 度 。 话 求 头 最 大 长 度 。 eontent-Length 最 ..， 消息 体 实际 长 度 
[|] Cetfault Low 1 S12 102d B81or 7 了 1 10A8576 
DD Defaukt Middle -1024 512 1024 8192 67108864 1048576 
[站 Cetault High 1024 1024 8192 67108864 1048576 


[ Detault lonitor 1024 S12 1024 S192 B71DS8EGd 048576 16 


G71D8S64 10dB&576 


Web 防 护 条 路 

和 Web 防 护 醒 本 

Web 防 护 帘 则 
HTTP 协 庶 校 验 规 则 
HTTP 访 ip 赃 制 视 则 
特征 防护 规则 
安 主 情报 中 心 规则 
人 惧 宝 防护 规则 
防 咨 等 议 刚 
防 器 站 请 求 协 造 般 则 
立 仁 上传 秽 则 
误 件 下 载 期 则 
莹 感 信 息 检测 规 刚 
蜀 客 码 榨 测 规 则 | 


二 "1 


2-14 ”打开 “Default Monitor” 协 议 校 验 规则 


编辑 HTTP 协 议 校 验 规则 
名 称 * 


: 


处 理 动 作 。 ”封禁 时 间 ( 秒 ) 告警 设置 


<| 


10 Accept-Charset 是 大 长 度 96 瞧 续 图 | 短信 


K| 


11 Accept-Languaoge 量 大 长 度 64 瞧 续 | 邮 [| | 短信 


9 


12 HTTP 请 求 最 大 长 度 67108864 准 续 | | 短信 


[&] 


13 头 信 息 量 大 个 数 32 些 续 | 短信 


区 ] 


14 消息 体 实际 长 度 1048576 瞧 寺 | | 短信 


[&] 


15 Content-Length 最 大 长 度 67108864 准 续 | | 短信 


[&] 


16 请 求 行 量 大 长 度 1024 瞧 续 | 短信 


[&] 


17 请 求 行 最 大 个 数 兰 编 . 门 短 信 


区 | 


18 请 求 头 最 大 长 度 进 渤 | | 短信 


[&] 


19 参数 个 数 全 | 短信 


[<] 
册 册 骨 


20 Range 最 大 范围 | 短信 


or EE 


2-15 设置 HTTP 协议 校 验 规则 


闭 “ 编 辑 HTTP 协议 校 验 规 则 ”界面 。 单 击 “Web 防护 ”一 “Web 防护 模板 ”, 在 “Web 防护 
模板 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 防护 模板 ,如 图 2-16 所 示 。 
(15) 在 “增加 Web 防护 模板 ”界面 中 ,在 "名称 ”中 输入 *HTTP 协议 校 验 模板 ”, 设 置 
“HTTP 协议 校 验 规则 ”为 “Default Monitor” ,其 他 保持 默认 配置 。 
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十 "Web 防护 樟 栋 


[] 宪 称 

L | | Defaul Low 

| | Default Middle 

[L Defaul High 

门 ] Defauk Monitor 
L | Custom standard 


Web 防 护 策 跑 
Web 防 护 辣 本 
Web 防 护 规 则 
吉 学 习 第 临 


二 ”安全 傅 报 中 心 
惫 ”访问 控制 
加 ”网 页 防 量 改 
怠 ， 扫 措 器 

于 DDaos 防 护 
十 网 站 去 防护 


生日 志 系 统 


图 2-16 增加 防护 模板 


(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 , 单 击 “确定 ”按钮 ,关闭 “增加 Web 
防护 模板 ”界面 ,返回 “Web 防护 模板 ?界面 中 ,可 见 已 添加 的 防护 模板 。 

(17) 单 击 ”Web 防护 ”一 "Web 防护 策略 ”, 在 ”Web 防护 策略 "界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 策略 。 

(18) 在 “增加 Web 防护 策略 ”界面 中 ,在 名称” 中 输入 “HTTP 协议 校 验 策略 ”, 设 置 
“Web 防护 模板 ?为 "HTTP 协议 校 验 模板 ”, 其 他 保持 默认 配置 。 

(19) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,关闭 “增加 Web 
防护 策略 ”界面 ,返回 “Web 防护 策略 ”界面 中 ,可 见 已 添加 的 防护 策略 。 

【实验 预期 】 

(1) PC 能 正常 访问 Web 服务 器 网 站 页 面 。 

(2) Web 应 用 防火 墙 能 阻 断 超 长 参数 的 URL 访问 并 记录 进 “ 攻 击 日 志 ”。 


【实验 结果 】 

1) PC 能 正常 访问 Web 服务 器 网 站 页 面 

(1) 进入 实验 平台 对 应 的 实验 拓扑 ,登录 左 侧 的 74CMS 虚拟 机 ,如 需 登 录 密 人 码 , 输 入 
123456。 如 图 2-17 所 示 。 

(2) 在 虚拟 机 打开 终端 ,如 图 2-18 所 示 。 

(3) 在 终端 中 ,输入 命令 firefox 并 按 Enter 键 ,打开 火狐 浏览 器 ,如 图 2-19 所 示 。 

(4) 在 浏览 器 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 ”172. 16. 2. 100”, 并 按 Enter 键 ， 
进入 Web 服务 需 网 站 首页 , 单 击 首页 方 框 所 标的 “销售 代表 ”, 如 图 2-20 所 示 。 
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14CMS:172.16.2.200 \ Web 上 服务 疾 : 172.16.2.100 


:10.0.0.1 


GE1 


管理 机 ， 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-17 打开 实验 虚拟 机 


图 2-18 ”打开 终端 


rootmkali: “ 
文件 {F) 编辑 (E) 得 看 (V) 搜索 (5) 终端 (TD 帮助 (H) 


几 firefox 


orocess: 1123): GL1ib: CR LT 
DD” failed 


图 2-19 打开 火狐 浏览 器 


sa 第 2 章 Web 应 用 防火 墙 安全 防护 应 用 en 


骑士 PHP 高 端 人 才 系 统 (www.74cms.com) - lceweasel 局 占 
加 骑士 PHP 高 端 人 才 系 ..，x | 中 


B172162100 rellor Google Q 会 自 有 全 


加 Most VisitedY 本 Offensive Security WKali Linux WKali Docs WkKali Tools MExploit-DB WAircrack-ng 


加 招聘 信息 。 微 招聘 ”求职 信息 。 “HR 工具 箱 ”新 闻 资讯 。 会 员 中 心 。 进入 论坛 


当前 位 置 : 网 站 首页 


搜索 职位 企业 总 数 : 0 ”有 巡 职 位 : 0 有效 简历 : 0 会 员 总 数 ; 0 月 发 布 招聘 区 填写 简历 


| eA me nem mewt m5xn7 BE | sims srumawe | SOE em 


热门 关键 字 |[ 国 售 代表 | 销售 经 理 会 计 销售 工程 师 销售 助理 道路 搜索 职位 。 。“ 按 标签 搜索 职位 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ?马上 蝇 量 得 看 本 周 热点 职位 


我 也 开 出 现在 这 里 ! | 更 大 职位 


2-20 单 击 网 页 内 容 * 销 售 代表 ” 


(5) 跳 转 到 指定 界面 后 ,可 见地 址 栏 中 的 URL 为 “172. 16. 2. 100/jobs/jobs-list. 
php? key 二 %CF%FA%CA%DB%B4%FA%B1%ED”, 此 URL 存在 一 个 参数 “key”， 
如 图 2-21 所 示 。 


销售 代表 - 职位 列表 - 骑士 人 才 系 统 - Iceweasel 
骑士 PHP 高 端 人 才 系 ..。，* | 有 销售 代表 - 职位 列表 ... * | 电 
起 AE 1172.16.2.100/jobs/jobs-list.php?key=%CF FAWCAXDB%BA 


头 Most VisitedY Offensive Security WKaliLinux WKali Docs WKali Tools MExploit-DB WAircrack-ng 


玖 迎 宁 到 骑士 人 才 系 统 ! 。[ 属 早 | [免费 注册 | 保存 副 点 面 网 站 首页 。。 二 助 ”国手 机 频道 久 搜索 " 


人 


容 时 ENM5 


当前 位 置 : 首页 >> 招聘 信息 >> 恤 壳 旺 黑 


接 写 字 楼 搜索 技 道路 搜索 


: 凤 营 管理 员 计算 机 、 吾 联网 内 市 场 营 情 ， 坪 划 员 锁 传 站 
表 械 ， 郁 源 动 力 绒 建筑 。 房 地 产 爱 行政 支 职 ，、 信 力 资源 间 商店 零售 闻 务 美 


北京 市 士 海 市 天 津 市 重庆 市 河北 省 山西 省 
吉林 省 黑 革 江 省 江 茵 省 更 窗 = 


本 | 15 天 向 


图 2-21 分 析 URL 中 的 参数 个 数 


2) 对 Web 服务 硕 网 站 进行 超 长 参数 访问 ,被 阻 断 并 产生 攻击 日 志 

(1) 在 虚拟 机 中 ,为 火狐 浏览 融 设 置 代 理 。 单 击 浏览 右 最 右 侧 的 下 拉 按 钮 , 单 击 
Preference, 如 图 2-22 所 示 。 

(2) 在 弹出 的 “Iceweasel Preferences” 界 面 中 , 单 击 上 方 的 Advanced, 再 在 下 方 界面 
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欢迎 来 到 骑士 人 才 系 统 ! [登录 ] [免费 注册 


安 37zor 


当前 位 置 : 首页 => 招聘 信息 == 体 案 早 黑 


全 能 搜索 按 写字 楼 搜索 按 道路 搜索 按 标签 搜索 


人 ) 显示 更 多 条 件 


计算 机 。 互 联网 类 市 场 营 悄 ， 第 划 类 销售 类 
行政 文职 ， 人 人力 资源 奖 。 ”商店 零 此 服务 次 


山本 省 


;” 坚 营 管 理 类 
机 械 ， 齿 源 动力 炎 建筑 ， 改 地 产 竟 
上 海 市 和 天津 市 重庆 市 河北 省 


黑龙 江 省 江苏 省 


更 新 : 7 于 内 15 和 于 内 30 天 内 


已 志 条 件 ，| 关键 字 : 销 售 代表 四 


提 柄 : 凡 需 先 变 纳 押 杀 。 保 证 埋 ， 性 棕 缉 ， 材 料 费 ， 成 本 费 短 费用 或 副 指 定 医院 体检 等 ， 可 能 是 咏 子 信息 ,谨防 上 当 爱 骗 .| 


口 全 造 | 投递 简历 | | 收 荐 职位 | | 对 比 职位 | 
每 页 显示 : [加 四 | 加 


抱歉 ， 没 有 符合 此 条 件 的 信息 。 


2-22 为 火狐 浏览 器 设置 代理 


单 击 Network 标签 页 , 单 击 Settings…” 按 钮 ,如 图 2-23 所 示 。 


Configure how lceweasel connects to the Intermet 


Your web content cache is currently using 107 KB of disk space 


口 Dverride automatic cache management 


Limit cache to | 35o| MB of space 


Your application cache is currently using 0 bytes of disk space 
国 Tell me when a website asks to store data for offline use 
The following websites are allowed to store data for offline use: 


图 2-23 设置 代理 


mn 8 = 
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(3) 在 弹出 的 “Connection Settings” 界 面 中 ,选中 “Manual proxy configuration” 单 选 按 
钮 ,在 “HTTP Proxy” 中 输入 “127.0.0.1”, 与 它 同行 的 Port 中 输入 8080, 如 图 2-24 所 示 。 


Connection Settings 


Configure Proxies to Access the Internet 
(No proxy 
[站 Auto-detect proxy settings for this metwork 
门 Use system proxy settings 
@ Manual proxy configuration: 


HTTP Proxy: |127.0.0.1 Bort: 


| | Use this proxy server for all protocols 


SSL Proxy: | Port: | 0 | 


ETP Proxy: ] Port: | 0 
SOCKS Host: ] Port: 


D 〇 SOCKS v4 仿 SOCKS vy5 [ Remote DNS 


Ne Proxy for 


| localhost, 127.0.0.1 | 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 
(Automatic proxy configuration URL: 


| | Reload 


[_ Do not prompt for authentication if password is saved 


| Help | Cancel | | OK | 
图 2-24 设置 代理 IP 和 端口 


(4) 单 击 OK 按钮 ,返回 “Iceweasel Preferences” 界 面 , 单 击 Close 按钮 ,返回 浏览 带 
界面 ,代理 设置 成 功 。 单 击 虚 拟 机 中 左 侧 工具 栏 的 Burp Suite 图 标 , 如 图 2-25 所 示 。 


应 用 程序 ~ 以 位 置 ~ 


销售 代表 - 职位 列表 - 骑士 人 才 系 统 - Iceweasel | 
加 骑士 PHP 高 端 人 才 系 .x / 国 销售 代表 - 职位 列表 .，x 人 中 
于 172.16.2,100/jobs/jobs-list,phprkey=%CFHFEANGC ™ ce Dv Googe S、 右 自 要 前 
Most Visited™ Moffensive 5ecurity WkaliLinux WkKaliDocs WKali Tools Exploit-DB MW Aircrack-ng 


次 迎 来 到 驻 士 . 


I 登录 |  [ 免 丰 注册] 悍 厚 到 桌 备 


号 a HH Sysiem 
vr) 


ji 让 是 :机 页 >> 招聘 情 息 => 抛 吉 彤 时 


按 与 子 树 搜索 村 通 路 提案 按 和 标准 江 党 


俐 人鱼 估 委 搜 全 部 
职 垃 : 凤 营 管理 并 计 简 机 。 互联 网 芝 市 场 蕊 峭 ， 和 握 划 类 销 信 商 


志 杆 。 局 看 动 为 爱 津 哺 ， 卫 是 产 类 行政 色 职 ， 小 力 阔 源 闫 商店 守信 服务 闪 


北京 市 上 海 市 圭 河北 雷 山西 省 
理 林 省 服 才 江 省 


业 - | 


图 2-25 打开 Burp Suite 
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(5) 在 弹出 的 “Burp Suite Free Edition” 界 面 中 , 单 击 “I Accept” 按 钮 。 在 “Burp Suite 
Free Edition v1. 6. 01” 界 面 中 , 单 击 Proxy 一 Options, 在 “Proxy Listeners” 界 面 中 ,可 见 默 
认 色 选 的 代理 IP 和 端口 与 浏 览 器 中 设置 的 代理 IP 和 端口 一 致 ,如 图 2-26 所 示 。 


Burp Suilte Free Edition 1.$.d1 


Burp Intruckr Repeater Windew Help 


Ne) ProxyListeners 


‘| Burp Prowy usss ISteners to receive inceoming HTTP requssts frem your browser, Youwill need to configurs your bromser is use one of the listeners as its prowy Sener, 
【 


lntermace Irmisitle | Revdirect | Cerificate 
加 2 了 7 让 让 直人 加 Per Fost 


Each Installatl on of Biurp generates lbs sun CA certificate 中 状 Prory lsteners canuee When ragotlating SL cormnecions. You can Import or expon this cerdficate for LEe im cther Lools or 
arother installatisn of Eurp. 


CA certificate .. | 


了 Invercept Cllent Reyguests 


(| Use these 3e LLiNE Ls Coral Which evests sre ET 请 全 wii 画 太 对 ECHLINE inithe IIUE ieept 司 蕊 


| melatierahip | Concition 
FIle extension Doas nat 而 直击 i pas pnes Cs 
Re opyesi Contains parameters 
HTTP method Does pat mateh 悟 电 post 
URL ls in target scope 


回 Automatically fix missing or superflucus re lines at erd of revluest 


图 2-26 查看 Burp Suite 的 代理 IP 和 端口 


(6) 依次 单 击 Proxy 一 Intercept, 发 现 “Intercept is on”, 说 明 Burp Suite 开始 拦截 浏览 带 发 
送 的 数据 包 。 返 回 浏览 副 界 面 , 单 击 “ 刷 新 ”按钮 ,使 Burp Suite 抓 取 到 数据 包 , 如 图 2-27 所 示 。 
销售 代表 - 职位 列表 - 骑士 人 才 系 统 - Iceweasel 
骑士 PHP 高 端 人 才 系 .，。 x / 国 销售 代表 - 职位 列表 .x 1 
所 $172.16.2.100/i0bs/jobs-list,php?key=%CF%FA%C 
硬 Most Visited Y Offensive Security WKaliLinux WKaliDocs WKaliTools MExploit-DB MW Aircrack-ng 


欢迎 来 到 骑士 人 才 系 统 | ”| 恒 录 ] ”| 免费 注册 | 保存 到 桌面 网 站 衣 


的 LENS 


当前 位 置 : 首页 ss 招聘 信息 ss 搜索 晴 奥 


[一 技 写 字 权 搜索 。 。” 按 道路 搜索 。。 技 标签 搜索 


销售 代表 搜 全 部 


经 营 管理 类 计算 机 、 互 联 同业 市 场 营销 ， 第 划 类 销售 类 
机 概 、 刻 源 动 力 商 通 紧 。 司 地 产 呐 行政 广 上 职 ，、 人 人 力 资 源 莫 商 后 零售 服务 荧 后 动 服务 商 


重庆 市 河北 省 山西 省 内 戎 训 


图 2-27 刷新 网 页 
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(7) 返回 “Burp Suite Free Edition v1.6.01” 界 面 中 ,可 见 捕 捉 到 的 数据 包 。 在 显示 
数据 包 的 方 框 中 右 击 鼠标 , 单 击 “Send to Repeater”, 如 图 2-28 所 示 。 


Burp Suite Free Edition v1.6.01 


Burp lIntrucer Repeater Window Help 


ee 


oss Pe 


ne 


GET /jobs/jobs-list.php?key=%CFWFAWCAMDBWBANWEAWB 
Host 172.16.2.100 

User=Agent: Mozilla/s.0 (X11; Linux x86 64; rv:31.0) Gecko/ 
Accept text/htmlapplication/xhtmlixmlapplication/xml;e 
Accept-Language: en-lS,en,q=0.5 


Cookie: pHPSESSID=mrl4h ek7hkiuqehqubvroigkb2 
Connection: keep=alive 
Cache-Control: max-age=0 


Bn ative scan 
Send to Lntrucker 
Send to Seguencer 
send to Comparer 
$end te Dececer 
Recwest In browser 


Change request method 
Change bedy encodine 


Copy URL 

Copy ms curl Commarncd 
Copy to file 

Paste from file 


Sve llem 

Dor irtercept regmpiests 
Do Intercept 

Lorwert selection 

URL encote as You type 


图 2-28 ”发送 数据 包 到 Repeater 


(8) 依次 单 击 Repeater 习 Request 一 Raw, 增 加 URL 参数 。 本 实验 中 Web 应 用 防火 
墙 检 测 URL 参数 ,如 果 超 过 16 个 ,就 会 阻 断 并 记录 到 “攻击 日 志 ” 中 。 再 手动 增加 16 个 
参数 ,URL 中 所 有 参数 为 “key 二 WCF%FA%CA%DB%B4%FA%B1%ED&category 一 
l&.subclass= 2&.district = 35.sdistrict = 35&.settr = 3&.trade = &wage = nature = 
Cscale=&.inforow—= &.sort—=&page=1&.id=]1&name—= wz&.pass— wxt.swx—= man”,。 
单 击 Go 按钮 ,发 送 数 据 包 ,如 图 2-29 所 示 。 

(9) 在 管理 机 打开 浏览 带 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导航 栏 中 的 "日志 系 统一 ”攻击 日 志 ”。 在 "攻击 日 志 ? 界 面 中 ,可 见 产生 的 日 志 信 
息 ,说 明 HTTP 协议 校 验 配置 生效 ,如 图 2-30 所 示 。 


【实验 思考 】 
如 何 配置 Web 防护 规则 ,使 Web 应 用 防火 墙 能 阻 断 超 长 参数 的 URL 访问 ? 
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Burp Suite Free Edition ¥1.6.01 


证 -iT 


忆 计 各 向 让 而 可 二 


/jobs/jobs-list. php?key=WCFWFAWCAWDBMBEAMFANWB1MEDEcategory=1&sub 
class=2&district=1&sdistrict=35hsettr=3htrade=s&wapge=bnature=&scale=&inf 
Orow=&sort=&page=1&id=1&name=wz&pass=wx&sex=man|HTTP/1.1 

Host 172.16.2.100 

User-Agent: Mozllla/’s.0 (X11 Linux x86 64, re31.0) Gecko/20100101 
Firefox/31.0 leeweasel/31.8.0 

Accept: text/htmlapplication/xhiml+xmlapplicaton/xmtq=0.9,*/*,9q=0.8 
Accept-Language: en-US,en;q=0.5 

Accept-Encoding: gzip, deflate 

Referer: htip://172.16.2.100/ 

Cookie: PHPSESSID=mMmriAhekhkiuqehaqubvroleakb2 

Connmecton: keep-alve 

Cache-Control max-=age=0 


D matches 


| ? | | 电 | | = | | ~ | Type a Fearch rem | ? | | | | 二 || | Tepe 可 searcit sem 


Reathy 


图 2-29 ”发 送 数据 包 


旦 armin 


[a#2 | | sa | ss 
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访问 过 旨 


网 加 防 复 改 


所 措 申 


”CDo5s 防 护 


网 站 去 防护 


拔 具 日 志 

审计 日 志 

访问 日 吉 

谱 击 日 志 
CDos 日 志 

网 页 防 笔 改 日 志 


分 析 素 崇 


厅 _ 至 妨 主 白 


2017-11-13 15:39:d4 
aD-11-13 16:39;44 
2017-11-15 16:39:d41 
2017-11-1s 15;:39;41 
2017-11-is 16:39:40 
2017-11-15 165:39:40 
17-11-153 1 的 ; 折 
2017-11-15 16:39:38 
2017-11-15 165:39:37 
2017-11-15 14:45:16 
2017-11-1s 09:13:43 
-11-1s W1827 
2017-11-1s 09:13:21 


2017-11-15 09:13:13 


当前 1- 二 , 总 其 工 146 对 已 桂 


17216.2.200 
172.16.2.200 
ri16.2.200 
7a.2.200 
i216.2.200 
172.1b.2.200 
?0106.2.200 
72.16.2.200 
7.16.2.200 
?L162.200 
I72.16.2.200 
172.16.2.200 
Ir2.16.2.200 


72.16.2.200 


172.16.2.100 
172,10,.2.100 
172.16.2.100 
1721h,2,100 
172.16.2.100 
172.16,.2,100 
DO 
172.16.2.100 
172,14.2.100 
i172.16.2.100 
172.16.2.100 
172,16,.2.100 
172.16.2.100 


172.16.2.100 


Hplusr ajax_user.php 
iotaobs-list.php 
Husiajax_user.php 
diosyfpobes-list,php 
A us ajaw user.php 
otsifobs-listphp 
pusajar user.php 
jobsficbs-listphp 
susajaw_ user,php 
Hplusi jax_ user.php 
jobs/obs-listphp 
ebsites-list.php 
jobsiobs-listphp 
ottob:s -listphp 


act=top,_loginform 


REY= 和 人 FF 和 OF 册 区 全 有 的 


act=top loginform 


key = ECFEFANLA RN, 


act=top loginform 


key =HCFHFABCAN,. 


日 如 = loginform 


key=ROFWFAE A 


aci=tcP_loginfcrm 


seh=top logiriftarmm 


key=Bcatsgory=1Q..- 
hey=Mcatsgomy=1d,,. 
key=Brcategory=1&... 


her=Qcategory=18... 


图 2-30 ”产生 日 志 信息 
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【实验 目的 】 


根据 网 站 防护 需求 ,配置 HTTP 访问 控制 规则 来 控制 用 户 的 访问 权限 。 


HTTP 协 议 桩 这 规则 
HTTP 协 说 榨 巡 规 则 
HTTP 协 说 桂 苦 规则 
HTTP 协 说 梳 妈 规 吕 
HTTP 协 次 桩 驴 规 则 
HTTP 人 协议 桩 双规 则 
HTTP 协 说 梳 于 规 刚 
HTTP 协 这 桩 纺 规 则 
HTTP 协 变 术 如 规 岂 
HTTP 协 说 校 将 规则 
HTTP 协 谨 棕 巡 规 划 
HTTP 协 衣 梳 嫁 规 刚 
HTTP 协 襄 校 巷 规则 


唱和 色 | 台 加 
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【知识 点 了 
HTTP 访问 控制 。 


【场景 朱 述 了 

近日 , 某 招聘 网 站 开通 了 会 员 业 务 , 出 于 对 会 员 账 号 的 保护 需求 ,公司 领导 要 求 安 全 
运 维 工 程 师 小 王 通 过 设备 设置 Web 应 用 防火 墙 实 现 不 允许 其 他 人 通过 POST 的 方式 登 
录 会 员 账 号 ,请 思考 应 如 何 操作 。 


【实验 原理 】 

网 站 出 于 保护 某 些 网 页 安全 的 目的 ,需要 控制 某 些 用 户 的 访问 权限 。 具 体 需 要 分 为 
以 下 几 类 ， 

(1) 对 访问 者 访问 的 URL 控制 ,允许 或 不 允许 访问 设 定 的 URL 对 象 。 

(2) 对 访问 者 的 HTTP 方法 的 控制 ,允许 或 不 允许 设 定 的 HTTP 方法 访问 。 

(3) 对 访问 者 的 IP 的 控制 ,允许 或 不 允许 设 定 的 IP 对 象 访问 。 

当 产生 被 控制 的 访问 时 ,可 以 选择 是 否 需要 告警 ,以 邮件 或 短信 等 方式 ,通知 管理 员 ， 
并 执行 处 理 动作 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 ,Windows XP SP3 主机 1 人 台 ， 

Windows 7 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-31 所 示 。 


局 


7T4CMS:172.16.2.200 


管理 机 ，10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-31 Web 应 用 防火 墙 HTTP 访问 控制 实验 拓扑 


【实验 思路 】 
(1) 新 建 HTTP 访问 控制 规则 。 
(2) 新 建 HTTP 访问 控制 模板 ,引用 访问 控制 规则 。 
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(3) 新 建 HTTP 访问 控制 策略 ,引用 访问 控制 模板 。 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 大 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“网 络 管理 ”网 络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12, 其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2 ,其 他 保持 默认 配置 。 

(7) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 。 同 样 , 在 “Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridge12 ,其 
他 保持 默认 配置 。 

(8) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 确定” 按钮。 返回 “Port 接口 ” 
界面 中 ,检查 GE2、GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 在 “HTTP 服务 
髓 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 “172. 16. 2.100/24”,“ 端 口 ” 为 80, 设 置 “部 署 模式 ”为 "串联 ”防护 模式 ?为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel2, 勾 选 “ 启 用 ”的 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 器 ?界面 ,返回 “HTTP 服务 器 ”列表 界面 ,添加 HTTP 服务 器 信息 。 

(12) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 防护 规则 ”, 选 择 “HTTP 访问 控 
制 规则 ”。 在 "HTTP 访问 控制 ”界面 中 , 单 击 “ 添 加 十 ”按钮 ,添加 访问 控制 规则 。 

(13) 在 “增加 HTTP 访问 控制 规则 ”界面 中 ,输入 “名 称 ” 为 “访问 控制 规则 ”, 设 置 
“默认 动作 ”为 “继续 ”, 如 图 2-32 所 示 ，。 


增加 HTTP 访 向 挥 制 规则 


名 称 访问 控制 规则 


图 2-32 “增加 HTTP 访问 控制 规则 ”界面 


(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ”按钮 ,返回 “增加 HTTP 
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访问 控制 规则 ?界面 , 单 击 * 增 加 十 ?按钮 ,增加 访问 控制 条 目 , 如 图 2-33 所 示 。 


增加 HTTP 访 问 控制 规则 


名称” 访问 控制 规则 


默认 动作 卜 续 


EE 


[|] 优先 级 “HTTP 请求 Ur| 。 源 IP 方法 处 理 动作 ” 封 机 时间 。 严重 级 别 ”告警 设置 。 ”日志 ”启用 
没有 检索 到 数据 


图 2-33 增加 访问 控制 条 目 


(15) 在 “增加 HTTP 访问 控制 规则 条 目 ”* 界 面 中 ,“ 处 理 动作 ”设置 为 “ 阻 断 ”, 勾 选 
“方法 ”中 的 POST 复 选 框 ,其 他 保持 默认 配置 ,如 图 2-34 所 示 。 


增加 HTTP 访 问 控 制 规则 条 目 


HTTP 请 求 Url (0~10000) 
图 断 
高 级 
HEAD 四 
和 | 邮件 ”|_| 短信 
MKCOL 
| | MOVE 
OPTIONS PROPFIND 
_| PROPPATCH | | LOCK 
UNLOCK | | PATCH 


图 2-34 “增加 HTTP 访问 控制 规则 条 目 * 界 面 


(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “增加 HTTP 
访问 控制 规则 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 
“HTTP 访问 控制 规则 ”界面 ,可 见 添 加 的 访问 控制 规则 ,如 图 2-35 所 示 。 

(17) 单 击 “Web 防护 ”Web 防护 模板 ”, 在 ”Web 防护 模板 ”界面 中 单 击 “增加 十 ” 
按钮 ,增加 防护 模板 。 

(18) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “访问 控制 模板 ”,“HTTP 访问 
控制 规则 ”设置 为 “访问 控制 规则 ”, 其 他 保持 默认 配置 。 

(19) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 中 ,检查 添加 的 Web 防护 模板 。 

(20) 单 击 “Web 防护 ”一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 单 击 “ 增 加 十 ” 
按钮 ,添加 访问 控制 策略 。 

(21) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “访问 控制 策略 ”, 将 Web 防护 

75 


Egg Web 应 用 防火 墙 技术 及 应 用 实验 指导 EGG 


上 admin 


十 HTTP 访 问 控制 规则 [n+ | | 届时 人 


| 名称 暑 认 动作 封禁 时 间 
| .访问 控制 规则 淮 纪 


Weaeb 防 护 策 阱 

Web 防 护 恒 琶 

Web 防 护 规则 
HTTP 协 议 校 验 规 则 
HTTP 访 问 控制 规则 
特征 防护 规则 
安全 情 所 中 心 规则 
仆 虫 防护 规则 
防盗 链 规 则 


有 陆 答 上 Hi 震 - 殿 性 才 竺 起 | 品川 


图 2-35 ”成功 添加 访问 控制 规则 


模板 ”设置 为 “访问 控制 模板 ”, 将 “访问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(22) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 中 ,检查 添加 的 访问 控制 策略 ,配置 完毕 。 

【实验 预期 】 

(1) 添加 访问 控制 策略 后 ,PC 不 能 在 Web 网 站 中 登录 账户 。 

(2) 撤销 访问 控制 策略 后 ,PC 能 正常 登录 账户 。 

【实验 结果 】 

1) 添加 访问 控制 策略 后 登录 账户 失败 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 74CMS ,进入 虚拟 机 ,如 图 2-36 所 示 。 


Web 服 务 需 : 172.16.2.100 


管理 机 ，10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-36 登录 左 侧 虚 拟 机 


(2) 在 虚拟 机 打开 火狐 浏览 器 “Mozilla Firefox”, 在 地 址 栏 中 输入 “172. 16. 2. 100” 后 
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按 Enter 键 , 单 击 “ 会 员 中 心 ”, 如 图 2-37 所 示 。 


立 件 企 ) 编辑 还) 查看 名 ”历史 蛋 ) 书签 龟 ) 工具 (IY 和 攻 助 信 ) 


| 国 骑 土 Me 高 油 人 才 系 统 (oem x 人 


j= | i 172.16.2 100 


欢迎 来 到 骑士 人 才 系 统 ! [登录]  [ 鲍 蔓 注册 ] 
jE HR System 
5 
= 匡 w 招聘 信息 。 微 拍 允 求职 信息 严 工 具 箱 新 闻 资 读 


当前 但 置 : 网 站 首页 


搜索 职位 


2-37 单 击 "会员 中 心 ”栏目 


(3) 在 跳 转 到 的 页 面 中 输入 账户 信息 。 本 实验 中 账户 的 账号 是 xiaowang;, 口 令 为 
“11fw(@2soc#3vpn”。 输 入 “账号 ”为 xiaowang，“ 窗 人 码 ” 为 “11fw(@2soc# 3vpn”, 如 图 2-38 
所 示 。 


世 忻 癸 ) 绩 后 眉 ) 查看 局) RD 中 名 ) 书 查 昌 ) 工具 并 ] 希 助 出 


欢迎 来 到 骑士 信 才 系统 ! [登录] [免费 诗 册 ] 保存 到 点 面 网 后 首页 帮助 ， 图 手机 频道 


职位 发 在 稍 历 搜索 


Te 联 准 卉 账号 : [iaowang 


= 


济 
ry 
如 
党 


pd 


1 
a 
A ea J Wp! a 用 


AS 


[| 一 周 内 自动 登录 


渤 温 有 账号 ” 筷 典 注册 


白 补 将 栏 日 ”和 白 证 底 栏 日 


2-38 输入 会 员 账 号 和 密码 


(4) 单 击 “登录 ?按钮 ,使 用 POST 方式 提交 了 数据 ,可 见 页 面 没 有 跳 转 ,如 图 2-39 
所 示 。 
(5) 关闭 火狐 浏览 般 。 在 管理 机 打开 训 览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 
的 IP 地 址 “https: //10. 0.0. 1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 
界面 。 输 入 管理 员 用 户 名 admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 
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文件 下 1! 纺 往 站 ) 查看 必 ) 


万 史 总 ) 


[登录 ]  [ 饮 玫 注册 |] 帮助 ”加 手机 频 这 


地 BY HR System 


职 征 发 布 “阅历 向 案 
会 上 质 ih 聘 净 并 | E [anwang 
直上 。 生生 机 


二 E 
上 


保存 刻 后 则 网 站 首页 


月 时 


[|] 一 周 内 自动 登 示 


坏 浪 有 医 号 1 总 厚 注册 


自 六 人 妾 拦 日 ”和 白丁 婚 拦 晶 
mT 


图 2-39 登录 账户 


航 栏 中 的 “日 志 系 统 ” 一 “攻击 日 志 ”。 在 “攻击 日 志 ” 界 面 中 ,可 见 阻 断 的 POST 类 型 链 
接 ,符合 预期 要 求 ,如 图 2-40 所 示 。 


拱 


六 本 上 | 二 司 / 了 上 防卫 


3 


[DL | | 2017-11-29 09:46.... 


中 


[| 2017-11-29 O96:.. 
[| 2017-11-29 O09%d6:... 


备份 日 志 

南 计 日 志 
访问 日 志 

记 击 日 志 

CDos 日 志 

网 页 防 复 改 日 去 


由， 分 析 系 统 


a ri hh 


| 
态 2017 网 神 All nights rasarwvad. 


| | 2017-11-29 0%53:.. 
[| 2047-11-29 09:51:.. 
[| 2017-11-29 m49:.. 
L] 2017-11-29 0949:.. 
LD] 2017-11-29 09.49... 
| | 2017-11-29 09%47:.. 
| | 2017-11-29 O07:.. 
[| 2017-11-29 O08:47:.. 
LL |] 2017-11-29 09.47:.. 
[L 2017-11-23 09.47.... 


| | | 2017-11-29 O946:.., 


172.16.2.200 
172.165.2.200 
172.16.2.200 
i216.2.200 
172.16.2.200 
172.16.2.200 
172.15.2.200 
172.16.2.200 
172.16.2.200 
72,16,2.200 
172.16.2.200 
172.16.2.200 
172.15.2.200 


172.16.2.200 


当前 1 - 15. 总 失 1.413 条 记录 


公司 网 由: httpy /www.lagendsec.com 


2-40 


"172,16.2.100 


172.16.2.100 
172.16.2.100 
lr.1b.2.100 
la.16.2.100 


4 172.16.2.100 


172.16.2.100 
172,16,.2,.100 
172.16.2.100 
?a16.2,.100 
?216.2.100 
?2.16.2.100 
172.16.2.100 


172.16.2.100 


2) 撤销 访问 控制 策略 后 ,成功 登 录 账 户 
(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 全 地 址 “https://10. 
0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 
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昌 aqdirnin IE 导出 | 


| 对 |=2 | sx | | mare 


Plus 得 KU 

Mobsiiobs-li... HTTP 访 问 控 ..… 
P HTTR 访 问 控 . 
F HTTPIENS.., 
- ] HTTR 访 问 柠 ,,. 
HTTR 访 问 控 ,. 
HTTP 访 间接 
HTTPR 访 问 皖 ,. 
HTTR 访 问 控 .… 


key=123&ca.., 


/tamplates,., 
fplusiajax c.., | gct=compan.. 
plus/ajax ce | Bct=countinfo 
Memplatesi_. | - 

templates.., HTTPIEHY,.. 
HTTP 访 站 , 
HTTR 访 问 皖 ,。 
HTTR 访 问 接 ,.. 


HTTR 访 问 棕 .. 


templates,.., 
rtamplates,., 


rdatalimage... | - 


| 


Aplusiajax yu... | act=top_ logi... GET 


1 


“攻击 日 志 ” 界 面 
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防护 策略 ”。 在 “Web 防护 策略 ”界面 中 ,双击 “访问 控制 策略 ”。 
(2) 在 “编辑 Web 防护 策略 ”界面 中 ,取消 勾 选 “局 用 ” 复 选 框 。 
(3) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 。 登录 实 验 平 台中 
对 应 实验 拓扑 左 侧 的 74CMS, 进 入 虚拟 机 。 打 开火 狐 浏 览 融 ,在 地 址 栏 中 输入 “172. 16. 
2.100” 后 按 Enter 键 ,在 页 面 中 单 击 “会 员 中 心 ”, 在 跳 转 到 的 页 面 中 ,输入 “账号 ”为 
xiaowang，“ 密 公 ” 为 “11fw(@2soc#3vpn”, 如 图 2-41 所 示 。 
六 件 和 编辑 外 坦 香 如” 历史 书签 名 ”工具 人 敌 助 他 从 


十 


EE 人 172. 16.2.100/ ser/l ugin. php | 总 搜索 证 | 由 烛 前 加 三 


欢迎 来 到 骑士 人才 邓 统 ! [登录 ] [名 壳 注册 | 保存 到 点 而 | 网 站 首页 | 帮助 | 图 手机 频 和 这 | 名 报 宇 


阁 工 SNM$ HR System 


了 积 们 发布“ 算 历 凋 委 会 员 登 录 


仿 上 所 账号 : [iaowang 
过 汪 5 : E | 友 TTTTETTETE 


电 | 局 | ,BT 上 口 一 千 内 自动 登录 
Ye > Fla el I A ee 后 记 寥 码 ? 
和 还 油 有 了 账 亏 ? 名 费 注 机 


自 宗 党 栏 月 自 定 辫 拦 月 


2-41 “会 员 登 录 ” 界 面 


(4) 单 击 "登录 ?按钮 ,成功 登 录 账 户 ,符合 预期 要 求 ,如 图 2-42 所 示 。 
世人 忻 便 】 嘱 辑 偿 ) 查看 必 ) 爵 史 名 ) 书 敬 症 ] 工具 在) 和 帮助 以) 


个 人 会 员 中 心 - 骑 十 人才.… Xx 


| 和 | C7) | 172. 186.2, 100/user/ pearsonitl/ pearsonal indox, php CGC | | 器 搜索 


欢迎 Xiaowang 登录 ! [会员 中 心 ] [过 出 ] 避 存 到 桌面 


WN 


简历 管理 


Xiaowand 


上 次 登录 时 间 : 2017-11-29 上 次 登录 IP: 172.16.2.200 
您 还 没有 创建 简历 。[ 立 即 创 建 
收 到 的 面试 邀请 ; i0) 己 申 请 职位 ，(0) 职位 收藏 夹 : 加 ) 
5 搜索 职位 
' 雍 下 载 了 我 的 简历 
2 我 收 到 的 面试 说 请 


笑 可 能 感 洪 起 的 职位 
职位 和 名称 


5 我 申请 过 的 电 位 温 有 匹配 的 情 息 


图 2-42 成 功 登 录 账 户 
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【实验 思考 】 

如 何 设 置 对 GET 类 型 链接 的 访问 控制 ? 

214 Web 应 用 防火 墙 疏 虫 防护 实验 

【实验 目的 】 

管理 员 通 过 配置 Web 应 用 防火 墙 疏 虫 防护 规则 阻止 疏 虫 行为 ,防止 网 站 服务 融资 源 
被 卜 虫 访问 占用 ,防止 网 站 敏感 信息 潭 露 。 

【知识 点 】 

疏 里 防护 规则 。 

【场景 描述 】 

A 公司 客户 人 员 接 到 客户 反馈 ,公司 对 外 提供 的 服务 网 站 打开 速度 很 慢 , 甚 至 出 现 
无 法 打开 的 状况 ,公司 领导 要 求 安 全 运 维 工程 师 小 王 解 决 此 问题 。 小 王 通 过 分 析 怀 疑 是 
有 人 恶意 针对 网 站 服务 般 使 用 疏 虫 访问 占用 服务 需 带 宽 资 源 导 致 。 小 王 马 上 在 该 网 站 服 
务 占 前 的 Web 应 用 防火 墙 上 设置 了 疏 虫 防护 规则 ,问题 得 以 解决 。 请 思考 小 王 是 如 何 设 
置 的 。 

【实验 原理 】 

网 络 仆 忠 是 一 种 按照 一 定 的 规则 ,自动 抓 取 万 维 网 信息 的 程序 或 者 脚本 。 网 络 上 有 
很 多 搜索 引擎 ,如 百度 、 雅 虎 等 ,都 使 用 仆 虫 提供 最 新 的 数据 。 但 如 果 恶意 使 用 让 虫 仆 取 
大 量 的 网 站 页 面 , 不 但 占用 网 站 市 宽 , 而 且 影 啊 服 务 紫 性能，Web 应 用 防火 墙 通过 设置 该 
策略 ,可 以 防止 信息 被 搜索 引擎 获取 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设 备 1 台 。 

。 主机 终 顺 : Kali 2.0 主机 1 台 ,Windows 2003 SP2 主机 1 台 ,Windows 7 主机 


1 
【实验 拓扑 】 
实验 拓扑 如 图 2-43 所 示 。 
【实验 思路 】 


(1) 添加 爬虫 防护 规则 。 

(2) 添加 疏 虫 防护 模板 ,引用 故 虫 防护 规则 。 

(3) 添加 朴 虫 防护 策略 ,引用 疏 虫 防护 模板 。 

【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 如 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 

入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 
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PC-Kali:172.16.2.200 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-43 Web 应 用 防火 墙 疏 虫 防护 实验 拓扑 


(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”>“ 网 络 接 口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ”* 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 "网 桥 号 ?为 12, 其 他 保持 默认 配置 。 

(4) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridgel12, 其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 中 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ?一 "普通 服务 器 管理 ?, 单 击 上 方 的 
“HTTP 服务 器 ”。 在 “HTTP 服务 器 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 “172. 16.2.100/24”,“ 端 口 ” 为 80 ,设置 “部 署 模 式 ” 为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 硕 ” 界 面 ,返回 ”HTTP 服务 大 ?列表 界面 ,检查 已 添加 的 HTTP 服务 需 信 息 。 

(12) 单 击 面板 左 侧 导航 栏 中 的 “基础 对 象 ?> 一 “URL 列表 ”, 在 “URL 列表 ”界面 中 ， 
单 击 “ 增 加 十 ”按钮 ,增加 URL 列表 对 象 。 

(13) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “172. 16. 2. 100”, 其 他 保持 默认 
配 站 。 

(14) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 URL 
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列表 ”界面 , 单 击 “ 增 加 ”按钮 。 

(15) 在 “增加 URL” 界 面 中 ,输入 URL 为 “172. 16. 2. 100”, 其 他 保持 默认 配置 。 

(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 URL 
列表 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “URL 列 
表 ”, 检 查 增 加 的 URL 列表 对 象 。 

(17) 单 击 面板 左 侧 导航 栏 中 的 “Web 防护 ”一 ”Web 防护 规则 ”, 选 择 “" 疏 虫 防护 规 
则 ”。 在 "让 虫 防护 规则 ”界面 中 , 单 击 "增加 十 ”按钮 。 

(18) 在 “增加 爬虫 防护 规则 ?界面 中 ,在 “名 称 ?” 中 输入 “爬虫 防护 规则 ”, 如 图 2-44 所 示 。 


增加 疏 虫 防护 规则 


名 称 “ 息 虫 防护 规则 


图 2-44 “增加 疏 虫 防护 规则 ?界面 


(19) 单 击 " 保 存 ? 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 " 确 定 ? 按 钮 ,返回 "增加 疏 虫 防 
护 规则 ”界面 ; 单 击 “增加 十 ”按钮 ,增加 防护 条 | ,如 图 2-45 所 示 o 


增加 有 虑 虫 防 护 规则 


各 各 息 丰 防护 规则 
EE 


URL 处 理 动作 “封禁 时 间 “严重 级 别 。 告警 设置 
没有 检索 到 数据 


图 2-45 增加 防护 条 目 


(20) 在 “增加 疏 虫 防护 规则 条 目 ? 界 面 中 ， 疏 虫 防 护 URL ”设置 为 "172. 16. 2. 100”， 
“处 理 动作 ?设置 为 "封禁 ”, 其 他 保持 默认 配置 ,如 图 2-46 所 示 。 


编辑 慌 电 防护 规则 和 条目 
息 申 防护 URL 172.16.2.100 


5 (5-7200) 秒 


图 2-46 “增加 疏 虫 防护 规则 条 目 ? 界 面 
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(21) 单 击 “保存 ?按钮 ,在 弹出 的 配置 成 功 界面 中 , 单 击 “确定 ?按钮 ,返回 “增加 疏 虫 
防护 规则 ?界面 , 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ?按钮 ,返回 * 怜 虫 
防护 规则 ?界面 ,可 见 增 加 的 疏 虫 防护 规则 ,如 图 2-47 所 示 。 


而 admin ”人 垢 己 山 


中 中 中 防护 规则 | im 十 | | me 


首 称 


| 耻 让 防护 规 风 


Web 防 护 第 略 

Web 防 护 炒 板 

Web 防 护 规 则 
HTTP 协 说 棒 验 规则 
HTTR 访 问 控制 规则 
特征 防护 规则 
安仁 情 所 中 心 规则 
息 电 防护 规则 
防盗 履 规 则 
防 路 站 计 求 协 造 规则 
位 必 上传 规则 
立行 下 载 贡 则 
叙 后 信息 索 测 规则 
弱 窗 码 检 测 规 则 


图 2-47 成 功 增加 息 虫 防护 规则 


(22) 单 击 “Web 防护 ”~ Web 防护 模板 ”, 在 "Web 防护 模板 ”界面 中 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 。 

(23) 在 “增加 Web 防护 模板 ?界面 中 ,输入 “名 称 ” 为 “爬虫 防护 模板 ”> “ 疏 虫 防护 规 
则 ?设置 为 “爬虫 防护 规则 ”, 其 他 保持 默认 配置 。 

(24) 单 击 "保存 ?按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 ”Web 防护 模 
板 ” 界 面 ,检查 增加 的 防护 模板 。 

(25) 单 击 “Web 防护 ”一 “Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 策略 。 

(26) 在 “增加 Web 防护 策略 ?界面 中 ,输入 ”名称 ”为 “爬虫 防护 策略 ”, "Web 防护 模 
板 ” 设 置 为 “ 候 虫 防护 模板 ”, “访问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(27) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 ,检查 增加 的 防护 策略 ,配置 完毕 。 

【实验 预期 】 

添加 爬虫 防护 策略 后 ,防火墙 阻 断 爬 虫 攻 击 ,可 见 朴 里 防护 日 志 。 

【实验 结果 】 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC-Kali2.0, 进 入 虚拟 机 ,如 图 2-48 所 示 。 
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Web 上 服务 病 -74CMS : 172.16.2.100 
PC-Kali:172.16.2.200 - 


管理 机 : 10.0.0.*/24 
(以 实际 地 址 为 准 ) 


图 2-48 ”登录 左 侧 虚 拟 机 


(2) 如 需 输 入 登录 口令 , 则 输入 123456。 在 虚拟 机 打开 终端 ,如 图 2-49 所 示 。 


应 用 程序 = 位 置 = 一 22: 1 1 ih ™ qd 二 


ee 


ii, 
ee 


2-49 打开 终端 


(3) 在 终端 中 输入 命令 burpsuite 并 按 Enter 键 , 打 开 此 软件 ,用 它 做 代理 怜 取 网 页 ， 
如 图 2-50 所 示 。 

(4) 在 “Burp Suite Free Edition” 界 面 中 , 单 击 “I Accept” 按 钮 。 

(5) 右 击 终 端 图 标 ,选择 "新 窗口 ?命令 ,如 图 2-51 所 示 。 

(6) 在 新 终端 窗口 中 输入 命令 firefox, 打 开火 狐 浏 览 器 ,如 图 2-52 所 示 。 

(7) 在 火狐 浏览 器 中 , 单 击 右 侧 的 下 拉 杠 , 单 击 Preferences 按钮 。 在 “Iceweasel 
Preferences” 界 面 中 , 单 击 上 方 的 Advanced, 在 中 部 单 击 Network, 在 界面 中 单 击 
“Settings... ”按钮 ,设置 代理 。 

(8) 在 “Connection Settings” 界 面 中 , 勾 选 “Manual Proxy configuration”, 在 “HTTP 
Proxy” 行 中 输入 “127.0.0.1”, 在 同一 行 的 Port 中 输入 8080。Burpsuite 软件 默认 设置 的 
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root@kali: 疏 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


rootGkali:~# BUrpsuite 
十 二 月 01，2017 6: 51: 26 下 午 java, util. prefs.,FileSystemPreferences$1 run 
INFO: Created user preferences directory, 


图 2-50 ”打开 火狐 浏览 器 


应用 程 床 ” 位置 ” -seresun ~ 


Face 二 Kali: 


】 查看 (V] 搜索 (Ss) 经 庙 (T) 帮助 IH) 
: Burpsuite 

O17 fim 

dU 


EE 


从 收藏 到 中 释 除 Burp Suite Free Edition v1.6.01 


Eurp Iriruder Repeater Wirdew Help 


Target | Prowy | spider | Scarmer | Intruder | Repeater | Secyencer | Decsder | Comparer | Extencer | Dptiors | Alerts | 


Flter: Hiding rat feund items; hiding ss image and general binam centent: hitdire dwx responses: hitding empty folders 


Hest | hlethead | URL | Params | 5ia... 各 | Leneth | Wi[ 


| | 


莉 


| | Ragurzsi | Response 


Raw Hex 


图 2-51 打开 终端 


代理 IP 为 *127. 0.0. 1” ,代理 端口 为 8080, 和 本 实验 浏览 器 设置 的 代理 一 致 。 
(9) 单 击 OK 按钮 ,返回 “Iceweasel Preferences” 界 面 , 单 击 Close 按钮 ,返回 浏览 带 
页 面 ,在 地 址 栏 中 输入 “172. 16. 2. 100” 后 按 Enter 键 ,切换 到 “Burp Suite Free Edition 
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文件 (F) 编辑 (E) 
root@kali: ~# firefox 


(process: 1116): GLib- CRITICAL *#*#: qa slice set confiqg: assertion "sys page size = 
= 0 failed 


图 2-52 打开 火狐 浏览 各 


Burp Suite Free Edition v1.6.01 
EUrp IErucer Repeater YWindow Help 


Target | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Ertenoer | Dptions | Alerts 


| HTTP hlstory | Websockets Nistory | Dptions | 


Bd Request wo hp Te.16.2,100.80 


Farward | Drap | | Intarcept ls en | | 


Raw Hearers | Herx | 


IGET/ HTTEPAM.1 

IHost: 1712.16.2.100 

[User-Agent: Mozillars.0 (11; Linux xB6 4; rv:31.0) Gecko/20100101 Firefow/31.0 Iceweasel/31.8.0 
lIAccept textihtmlapplication/xhimlrxmlapplication/xmlg=0.9% 9=0.8 

IAcCcept-Language: en-LSs,en;q=0.5 

IAccept-Encoding: gzip, detlate 

| Connection: keep-alive 


图 2-53 成 功 拦截 数据 包 


(10) 单 击 Forward 按钮 ,放行 数据 包 通 过 ,如 果 还 出 现 拦 截 到 的 数据 包 , 则 再 单 击 
Forward 按钮 放行 数据 包 。 一 分 钟 后 ， 单 击 上 方 的 Target, 可 见 之 前 放行 的 数据 包 。 碳 击 
“http: //172. 16. 2. 100”, 单 击 “Spider this host” ,开始 对 这 个 网 站 页 面 进行 疏 取 操作 ,如 
图 2-54 所 示 。 

(11) 在 Confirm 界面 中 , 单 击 Yes 按钮 ,如 图 2-55 所 示 。 

(12) 在 管理 机 打开 浏览 血 , 在 地 址 栏 中 输入 Web 应 用 防火 场 产 品 的 IP 地址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 和 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 "日 志 系 统 ” 一 "攻击 日 志 ”, 在 “攻击 日 志 ? 界 面 中 ,可 见 产 生 的 爬虫 防护 
日 志 , 如 图 2-56 所 示 。 


86 


Es 第 2 章 Web 应 用 防火 墙 安全 防护 应 用 = 


Burp Suite Free Editioen v1.6.01 


Burp invruder Repeater Window Help 


rarget [Prowy | spiser | scanner | Intruser | Repeater | Sequencer | Decoder | Comparer | Extencer | Optiors | Alers_ 


Filter: Hiding nat found items. hiding CS5, Iimage and general binary content: hiding 4xx responses: hidine empty folders 


Rare 
(Be http-Wi27 G01 | Sta... 二 | Lengih | MIMEtype |Title 


| PA I pp .16 2.1DO lL 18019 HTML FEPHPR NEE EA. 
| Mp HEY 一 一 一 .16.2,1C0 Iplusrajar_common... 330 


本 站 snl 12100 Namplates/default)... S780 -script 
pe 站立. 性 templatesidef aults)... 1 a Seript 
rttprfovero dd Mctively scanthis host 1 he DE 1765 
355 iwelh |e, emplatesdefault)... 322b 

http meres.m Passivehy scan this host ee te ee 
http-i farere .we Engagement tools [Pro wersion on 162100 iemplatesjgeraultj 

Compare site maps End rmET Pannnmlnrnriminrnedn A 

Ex pant branch 


Expantd reouested items 加 Pesporse 
Delete Mast 

Headers 
a Heavers | Hex | 
Copy links in this hest 
save selected items 
site map help 


旧 国 国外 四 四 国 国 全 


| 

| 

Es 
I 


pnt: Mozilla/s.0 0%11; Linux xBe6 64; ry:31.0) Gecko/20100101 Firefox/31.0 lceweasel/31.8.0 
Fexvhtmlapplication/xhtml+xml,application/xmlgq=0.9,.*/*q=0.8 
Accept-Language: en-Us,en;q=0,5 
Accept-Encoding: gzip, deflate 
Connection: keep-alive 


2-54 开始 疏 取 


Burp Suite Free Edition v1.6.01 
Burp Imtrucer Repeater Wingdew Help 


se map | scope | 


be httpr127 OD 1 1 | Methed | URL 
ere httpT721621090 GET 200 18019 EELPHP RYEEESAL. 
和 YD A httpwrT72.16.2.100 GET splus/ajax_common.. 200 330 
Pijouery.org httpw172.16.2.100 GET Memplates/defautu)... 200 B78D script 
pa 有 http2A172.16.2.100 GET Atemplates/defauit).. 200 12374 Script 
和 本 httpJ7T72.16.2.1D0 GET Nemplates/Hefaui).. 200 1766 Script 
i http-Wi72.16.2.100 GET -Aemplates/defauly]... 200 3220 script 


0 TEP ean gen httpsr172.16.2.100 GET Atemplates/defauit).. 200 T2598 script 
be hitter ww wd. Ore Pe EET 


男 1 咎 用 有 ns bk {tarmnlate 下 | = 上 Li Di 


Confirm 


和 1 办 5eme 可 these items are outside the current spidering scope Would you like to madify the scopeteincdude the items? 


+: 本 
+ 


srcept: textihtmlapplication/xhtmltxml,applhcation/xmlg=0.9. 9=0.8 
Accept-Language: en-lS$,en;q=0.5 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 


2-55 Confirm 寞 面 
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吕 admin ”人 [ 听 授 出 


站 | [se [se [Sux | 是 新 避 


+ 备 综 配 畦 
i 网 内 管理 .,， ”站 点 二 名 /IP 方法 下 击 具 型 外 三 动 作 ”规则 号 


~ | 172.16.2.100 
服务 器 舍 理 


a 当前 1 - 1, 总共 1 条 记录 
Web 防护 
安全 情 拱 中心 
虽 ”访问 控制 
加 ”网 页 防 枝 改 
扫描 器 
于 DDos 防 护 


网 站 去 防护 


大 愉 上 日志 
审计 日 志 
访问 日 志 
攻击 上 日志 
DDas 日 志 


图 2-56 “攻击 日 志 ” 界 面 


(13) 双击 选中 的 日 志 , 在 “细节 ?界面 中 ,可 见 详 细 信 息 :“ 攻 击 类 型 ?为 "爬虫 防护 规 
则 ”处 理 动作 ”为 " 封 莹 ”等 ,符合 预期 要 求 , 如 图 2-57 所 示 。 


细节 
日 志 详 细 信 息 


拦截 时 间 :2017-12-01 11:20:34 


攻击 者 攻击 目标 
112.16.2.200:36249 172.16.2.100 


攻击 类 型 的 虫 防护 趣 则 攻击 域 HTTP 请 求 头 部 
方法 GET 严重 级 别 高 级 

Web 防 护 策略 稚 虫 防护 策略 Web 防 护 规则 人 疏 虫 防护 规则 
规则 三 - 处 理 动 作 封禁 

目的 URL - 

参数 

Pest 大 数 

Referer hitp:W172.16.2.1007 


Useragent Mozillaf5.0 (compatible: MSIE 3.0; Windows NT 6.1; Wined: wa4; 
Trident/5.0 


其 他 
其 他 
其 他 
对 方 和 您 在 同一 内 部 网 


图 2-57 “细节 ”界面 
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【实验 思考 了】 

请 思考 怎样 封禁 息 取 动作 1 小 时 。 

215 _ Web 应 用 防火 墙 盗 链 防护 实验 
【实验 目的 】 


管理 员 通 过 配置 Web 应 用 防火 墙 的 资 链 防 护 规则 能 够 有 效 阻止 次 链 请 求 ,保护 用 户 
及 公司 利益 ,并 能 节省 因 盗 用 资源 链接 而 消耗 的 带宽 和 性 能 。 


【知识 点 】 
盗 链 、 盗 链 防护 规则 。 


pp 朱 述 】 
A 公司 工作 人 员 在 浏览 网 页 时 发 现 了 与 自己 公司 茶 项 服务 的 网 站 一 模 一 样 的 网 站 ， 
但 区 别 在 于 该 网 站 提供 的 有 效 资 源 很 少 , 于 是 该 工作 人 员 将 这 一 情况 反映 给 张 经 理 。 张 
经 理 找到 公司 安全 运 维 工程 师 小 王 说 明 情 况 ,小 王 对 该 网 站 进行 分 析 后 发 现 , 该 网 站 存在 
看 盗 链 行为 ,于 是 小 王 对 Web 应 用 防火 墙 配 置 了 防盗 链 防 护 规则 ,实现 了 URL 级 别 的 
访问 控制 ,对 客户 端的 请 求 进行 检测 ,阻止 盗 链 请 求 。 请 思考 应 如 何 配 置 防盗 链 防 护 
规则 。 


【实验 原理 】 

盗 链 是 指 服务 提供 商 自己 不 提供 服务 的 内 容 ,通过 技术 手段 绕 过 其 他 有 利益 的 最 终 
用 户 界 面 (如 广告 ), 和 下 接 在 自己 的 网 站 上 向 最 终 用户 提 供 其 他 服务 提供 商 的 服务 内 容 , 驴 
取 最 终 用 户 的 浏览 和 点 击 率 。 受 益 者 不 提供 资源 或 提供 很 少 的 资源 ,而 真正 的 服务 提供 
商 却 得 不 到 任何 的 收益 。 

Web 应 用 防火 墙 通 过 实现 URL 级 别 的 访问 控制 ,对 客户 端 请 求 进行 检测 ,如 果 发 现 
图 片 .文件 每 资源 信息 的 HTTP 请 求 来 目 于 其 他 网 站 , 则 阻止 盗 链 请 求 , 节 省 因 盗 用 资源 
链接 而 消耗 的 带宽 和 性 能 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 2 台 ,Windows 7 主机 1 人 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-58 所 示 。 
【实验 思路 】 


(1) 创建 盗 链 防护 规则 。 
(2) 创建 盗 链 防护 模板 。 
(3) 创建 盗 链 防护 策略 。 
(4) 验证 盗 链 防护 效果 。 
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Eshop:172.16.2.100 14CMS:1 72.16.2.200 


GE1:10.0.0.1/24 a 


管理 机 10.0.0.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-58 ”Web 应 用 防火 墙 盗 链 防 护 实验 拓扑 


【实验 步骤 】 

(1) 在 管理 机 打开 浏览 右 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “登录 ”按钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“网 络 管理 ?网 络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “增加 十 ?按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 增 
加 十 ”按钮 ,本 实验 中 ,接口 IP 地 址 输入 “172. 16. 2.50”, 子 网 掩 码 输入 “255, 255. 0.0”, 单 

(5) 单 击 “ 完 成 ”按钮 ,添加 网 桥接 口 。 

(6) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(7) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ”为 bridge12 ,其 他 保持 默认 配置 。 

(8) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel2, 其 
他 保持 默认 配置 。 

(9) 单 击 “ 保 存 ? 按 钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 确定? 按钮。 返回 "Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(10) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 -普通 服务 器 管理 ,在 “HTTP 服务 
人 舌 ?界面 中 , 单 击 “增加 十 ?按钮 ,增加 服务 器 。 

(11) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器”,“IP 地 址 ? 
为 "172. 16. 2.200/16”, “端口 ”为 80 ,设置 “部 署 模式 ?为 “串联 ?> 防护 模式 ?为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel2, 勾 选 “ 局 用 ” 复 选 框 。 
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(12) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 大 ?界面 ,返回 "HTTP 服务 如 ”列表 界面 ,检查 已 添加 的 HTTP 服务 硕 信 息 。 

(13) 单 击 “ 基 础 对 象 ”“URL 列表 ”, 在 “URL 列表 ”界面 中 , 单 击 “ 增 加 十 ”按钮 , 增 
加 URL 列表 。 

(14) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “172. 16. 2. 200”, 设 置 “ 动 作 ” 为 “ 匹 
配 ”, 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 。 返 回 “ 增 加 URL 列 
表 ”URL 界面 , 单 击 “ 增 加 十 ”按钮 ,增加 URL。 

(15) 在 “编辑 URL” 界 面 中 , 填 入 *URL” 为 “172. 16. 2. 200”, 其 他 保持 默认 配置 。 

(16) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “URL 列 
表 ” 界 面 中 ,检查 配置 成 功 的 URL 信息 。 

(17) 单 击 面板 左 侧 导 航 栏 中 的 “Web 防护 ”> 一 “Web 防护 规则 ”, 选 择 * 防 盗 链 规则 ”。 
在 “防盗 链 规则 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,添加 防盗 链 规则 。 

(18) 在 “增加 防盗 链 规则 ”界面 中 , “名称 ”输入 “防盗 链 ”, 单 击 “ 保 存 ” 按 钮 ,如 图 2-59 
所 示 。 


增加 防盗 链 规则 
名 称 * 


图 2-59 “增加 防盗 链 规 则 ”界面 


(19) 在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 防盗 链 规则 ”界面 , 单 击 
“增加 十 ”按钮 ,增加 防盗 链 规则 条 目 ,如 图 2-60 ee 
增加 防盗 链 规则 


名 称 ” 防盗 链 


.局 用 日 志 ”优先 级 保护 URL 处理 动作 ”检测 方式 保护 资源 类 衬 ”人 允许 Re... 
没有 检索 到 数据 


取消 人 


图 2-60 增加 防盗 链 规则 条 目 


(20) 在 “编辑 防盗 链 规则 条 目 ” 界 面 中 ,将 “保护 URL 设置 为 "172. 16. 2. 200”, 将 
“处 理 动作 ”设置 为 “ 阻 断 ”, 将 “严重 级 别 ” 设 置 为 “低级 ”, 勾 选 “ 人 允许 Referer 为 空 " 复 选 
框 ,其 他 保持 默认 配置 ,如 图 2-61 所 示 。 

(21) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 防盗 链 
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编辑 防盗 链 规则 条目 


保护 URL 172.16.2.200 


检测 方式 Referer 

处 理 荔 作 

严重 级 别 

优先 级 * 合 [0=10000) 
告警 设置 

多 许 Referer 为 空 

日 志 

启用 

保护 资源 类 型 合 


信任 的 Referer 人 © 


图 2-61 “编辑 防盗 链 规则 条 目 ”* 界 面 


规则 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “防盗 链 规 
则 ”界面 ,检查 添加 成 功 的 防盗 链 规则 。 

(22) 单 击 “Web 防护 ”>“Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 。 

(23) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “防盗 链 模板 ”, 将 “防盗 链 规则 ” 
设置 为 “防盗 链 ”, 其 他 保持 默认 配置 。 

(24) 单 击 "保存 ?按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ?按钮 ,返回 ”Web 防护 模 
板 ” 界 面 ,检查 添加 的 防盗 链 模 板 。 

(25) 单 击 “Web 防护 ”一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,添加 盗 链 防护 策略 。 

(26) 在 “增加 Web 防护 策略 ?界面 中 ,输入 “名 称 ” 为 “ 盗 链 防护 策略 ” ,将 “Web 防护 
模板 ”设置 为 “防盗 链 模板 ”, 将 “访问 日 志 ?” 设 置 为 “开启 ” ,取消 勾 选 “启用 ” 复 选 框 ,其 他 保 
持 默 认 配 置 。 

(27) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
上 略 ” 界 面 ,可 见 成 功 添加 的 盗 链 防护 策略 ,配置 完毕 。 

【实验 预期 】 

(1) 未 启用 盗 链 防护 策略 时 ,用 户 能 够 访问 盗 链 图 片 。 

(2) 启用 盗 链 防护 策略 后 ,用 户 不 能 访问 盗 链 图 片 。 

【实验 结果 】 

1) 未 局 用 盗 链 防护 策略 时 可 访问 盗 链 图 片 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 Eshop, 登 录 密 码 为 123456, 如 图 2-62 
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所 示 。 


Eshop:172.16.2.100 74CMS:172.16.2.200 


管理 机 ，10.0.0.22/24 
(以 实际 下地 址 为 准 ) 


图 2-62 进入 虚拟 机 


(2) 打开 火狐 浏览 器 ,进入 Eshop 首页 “http: //127. 0.0.1”, 单 击 “ 商 城 动 态 ” 中 的 


“ 盗 链 ”, 如 图 2-63 所 示 。 


编辑 庄 ] 查看 疗 ) | 旋 史 访 】 书签 二) 工具 站 1 帮助 站) 


立 件 驯 ) 
浆 奇 . ET 南城 柔 统 w5.5--Power"… 其 十 
(©) @ 100.1 安 | 自 + 会 包 


| 2 EE ET 全 只， 


网 言 ESHOP 商 城 购物 系统 
设 为 首页 | 收藏 只 | 购物 在 | 简 | 繁 | 英 


WWW.W9qeshop.com 


+ 网 十 Eshop 5.5 隔 了 竺 早 届 籽 et ; ee 
+ 网 奇 Eshop 5.5 随 隆 更 出 炉 早春 新 甘 | 件 纹 礼服 
} 网 奇 Eshop 5 5 隆重 出 织 热 销 韩 襟 | 时 尚 乞 茜 
} 网 奇 Eshop 5.5 声 隆重 出 炉 --- 花样 美和 包 --- 
| + 网 奇 Eshop 5.5 版 隆 理 出 类 DL 新 屡 恋 | 者 夏 手 赚 
} 网 奇 Eshop 5 .5 上 隆 更 出 六 VW 情 倡 饰品 | GUESS 新 款 包 
me - -- 美容 化 入 - -- 
稳 美 赎 新 品 | 眼 部 护理 
祛 考 防 晒 | 防 地 她 
--- 品牌 玫 码 - - - 
三 星 | 诺基亚 


图 2-63 Eshop 首页 
(3) 进入 “ 盗 链 ”页面 后 ,能 看 到 清晰 的 图 片 , 右 击 图 片 , 选 择 “ 查 看 图 像 * 命 令 ,如 图 2-64 
所 示 。 
(4) 从 地 址 栏 的 URL 可 知 该 图 片 为 盗 链 图 片 , 关 闭 火 狐 浏 览 右 ,如 图 2-65 所 示 。 
2) 启用 盗 链 防护 策略 后 不 能 访问 盗 链 图 片 
(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 人 地址 “https://10. 


0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
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中 商 址 动 态 次 链 
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中 品牌 灰 装 管 询 [日 期 : 2017-12-01 03:09] 
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Su ” 音 看 图 集 区 ] 


三 ln 
香 制 图 像 地 址 必 ) 


将 图 像 男 存 为 QD)… 
用 邮件 北 庆 图 片 @@)… 
欧 涯 息 面 青 具 划 ) 
查看 图 像 情 息 吧 ) 


查看 元 素 得 ) 


女 件 外 ) 加 辑 让 ) 查看 好 凡 史 个) 书香 全) 工具 吧 9 审 By 


1512110452435.pne( FHG … 其 | 


图 2-65 ” 盗 链 图 片 


admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 “Web 防护 ”>“Web 
防护 策略 ”。 在 ”Web 防护 策略 ”界面 中 ,双击 “ 资 链 防护 ”, 如 图 2-66 所 示 。 

(2) 在 “编辑 Web 防护 策略 ”界面 中 , 勾 选 “局 用 ” 复 选 框 ,如 图 2-67 所 示 。 

(3) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 。 登录 实 验 平 台中 
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中 Web 防护 第 申 


_， 名称 服 寺 器 
让 忻 上 仿 和 试 服务 器 
_ 朋 宇 防护 别 试 服 劳 器 


_ | SRF 防 护 征 略 测 斌 服药 吉 


Web 防护 第 栈 
同 E 防 攻 模 板 
Web 防 护 规 则 
目 学 习 筑 辐 

十 安全 情报 中 心 

各 ”访问 控制 

全 ”网 页 防 息 改 


口 ， 扫 描 堪 


编辑 Web 防 护 第 辐 
名称 * 次 链 防 护 
服务 器 测 坛 骤 务 器 
Web 主 机 各 -- 请 输入 或 选择 -- 
源 IP 


Web 防 护 模 板 
访问 日 志 
优先 级 * 侣 (0=10000) 


启用 


图 2-67 启用 盗 链 防 护 策略 


对 应 实验 拓扑 左 侧 的 Eshop。 打 开火 狐 浏 览 器 ,进入 Eshop 主页 “http: //127. 0.0.1”， 
单 击 “商城 动态 ”中 的 “ 盗 链 ”, 如 图 2-68 所 示 。 

(4) 进入 “ 盗 链 ”页 面 后 , 盗 链 图 片 不 能 显示 , 右 击 图 片 ,选择 "查看 岁 像 ”命令 ,如 图 2-69 
所 示 。 

(5) 出 现 “404 Not Found 页 面 ”, 盗 链 图 片 已 被 Web 应 用 防火 墙 拦 截 , 如 图 2-70 
所 示 。 

(6) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 全 地址 https://10. 
0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 “日 志 系 统 ” 一 “攻击 

志 ”。 在 “攻击 日 志 ” 界 面 中 ,可 见 阻 断 的 盗 链 行为 ,符合 预期 要 求 ,如 图 2-71 所 示 。 
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分 析 系 第 


向 芭 统 负 断 


图 2-71 


【实验 思考 】 


“攻击 日 志 ” 界 面 


开启 盗 链 防护 策略 后 ,如 果 直 接 访问 盗 链 图 片 的 链接 是 否 会 被 Web 应 用 防火 墙 拦 


截 ? 为 什么 ? 


216 Web 应 用 防火 场 CSRE 防护 实验 


【实验 目的 】 


管理 员 可 以 通过 配置 Web 应 用 防火 墙 的 跨 站 请 求 伪 造 防护 规则 ,有 效 地 抵御 CSRF 


攻击 。 


【知识 点 】 
CSRF CSREF 防护 规则 。 


【场景 摘 述 】 


A 公司 安全 检测 人 员 测 试 并 证 明 公 司 网 站 存在 CSRF(Cross-site request forgery ,路 
站 请 求 伪 造 ) 汤 洞 。 为 了 不 泄露 公司 的 机 密 , 张 经 理 要 求 小 王 尽 快 利 用 Web 应 用 防火 墙 
设备 来 抵御 这 种 漏洞 。 请 思考 应 如 何 配置 Web 防护 策略 才能 有 效 地 抵御 CSRF 攻击 。 
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【实验 原理 】 

CSRF(Cross-site request forgery,; 跨 站 请 求 伪 造 ) 也 被 称 为 one click attack 或 者 
session riding ,通常 缩写 为 CSRF 或 者 XSRF ,是 一 种 对 网 站 的 恶意 利用 。 尽 管 听 起 来 像 
跨 站 脚本 (XSS) ,但 它 与 XSS 非常 不 同 , 并 且 攻 击 方式 几乎 相左 。XSS 利用 站 点 内 的 信 
任用 户 ,而 CSRF 则 通过 伪装 来 日 受信 任用 户 的 请 求 来 利用 受信 任 的 网 站 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 2 台 ,Windows 7 主机 1 台 。 

【实验 拓扑 了 

实验 拓扑 如 图 2-72 所 示 。 


i 


74CMS:172.16.2.100 


DVWA:172.16.2.200 


管理 机 10.0.0.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-72 Web 应 用 防火 墙 CSRF 防护 实验 拓扑 


【实验 思路 】 

(1) 新 建 CSRF 防护 规则 。 

(2) 新 建 CSRF 防护 模板 ,引用 CSRF 防护 规则 。 
(3) 新 建 CSRF 防护 策略 ,引用 CSRF 防护 模板 。 
(4) 验证 CSRF 防护 效果 。 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“网 络 管理 ?网 络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ?界面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 
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(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “确定 ”按钮 ,再 单 击 “ 增 
加 十 ”按钮 ,本 实验 中 ,接口 IP 地 址 输入 “172. 16. 2.50”, 子 网 掩 码 输入 “255. 255. 0. 0”, 单 
击 “ 保 存 ” 按 钮 。 

(5) 单 击 “完成 ”按钮 ,添加 网 桥接 口 。 

(6) 单 击 上 方 的 “十 Port 接口 ?>。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(7) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 , 在 “Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(9) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 中 ,检查 GE2、GE3 的 配置 信息 。 

(10) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”>“ 普 通 服务 器 管理 ”, 在 “HTTP 服务 
髓 ”界面 中 , 单 击 “增加 十 ?按钮 ,增加 服务 器 。 

(11) 在 “编辑 HTTP 服务 器 ?界面 中 ,输入 “服务 器 名 称 ? 为 “测试 服务 器 ?,”“IP 地 址 ” 
为 “172. 16. 2.200/16”,“ 端 口 ” 为 80, 设 置 “部 署 模式 ?为 “串联 ”防护 模式 ?为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel12, 勾 选 “ 局 用 ” 复 选 框 。 

(12) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 器 ”界面 ,返回 “HTTP 服务 器 ?列表 界面 ,可 见 已 添加 的 HTTP 服务 器 信息 。 

(13) 单 击 “基础 对 象 ?>>“URL 列表 ”, 在 “URL 列表 ”界面 中 , 单 击 “ 增 加 十 ”按钮 , 增 
加 URL 列表 。 

(14) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “url-CSRF”, 设 置 “ 动 作 ” 为 “匹配 ”， 
单 击 “ 保 存 ? 按 钮 ,在 弹出 的 配置 成 功 界面 单 击 确定? 按钮。 返回 "增加 URL 列表 ”URL 
界面 中 单 击 “ 增 加 十 ”按钮 ,增加 URL。 

(15) 在 “编辑 URL” 界 面 中 ,输入 URL 为 “/vulnerabilities/csrf”, 其 他 保持 默认 
屿 首 。 

(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “编辑 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “URL 列 
表 ” 界 面 中 ,检查 配置 成 功 的 URL 信息 。 

(17) 单 击 面板 左 侧 导航 栏 中 的 “Web 防护 ”一 “Web 防护 规则 ”, 选 择 “ 防 跨 站 请 求 伪 
造 规则 ”。 在 “ 防 蜂 站 请 求 伪 造 规则 ”界面 中 , 单 击 “增加 十 ”按钮 ,添加 CSRF 防护 规则 。 

(18) 在 “增加 防 跨 站 请 求 伪 造 规则 ”界面 中 ,在 名称” 中 输入 CSRF, 单 击 “ 保 存 ” 按 
钮 ,如 图 2-73 所 示 。 

增加 防 跨 站 请 求 伪 造 规 则 


名称 * CSRF 


EE 


图 2-73 “增加 防 跨 站 请 求 伪造 规则 ”界面 
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(19) 在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 防 跨 站 请 求 伪 造 规则 ” 界 
面 , 单 击 “ 增 加 十 ”按钮 ,增加 防 跨 站 请 求 伪 造 规 则 条 目 ,如 图 2-74 所 示 。 


编辑 防 跨 站 请 求 伪 造 规则 


名 称 * CSRF 


[Lam+ || mo 


wl 保护 URL 请 求 方 法 外 理 动作 。 ”严重 级 别 
没有 检索 到 数据 


图 2-74 ”增加 防 跨 站 请 求 伪 造 规则 条 目 


(20) 在 “增加 防 跨 站 请 求 伪 造 规 则 条 目 ” 界 面 中 ,“ 保 护 URL” 和 “Referer URL” 都 设 
置 为 “url-CSRF”,“ 处 理 动作 ”设置 为 *“ 阻 断 ”“ 请 求 方法 ”同时 旬 选 GET 和 POST 复 选 
框 , 勾 选 “允许 Referer 为 空 " 复 选 框 ,其 他 保持 默认 配置 ,如 图 2-75 所 示 。 


增加 防 跨 站 请 求 伪 造 规 则 条 目 
保护 URL Url-CSsRF 
Referer URL url-CSRF 
处 理 动 作 
严重 级 别 
优先 级 * 合 (0=10000) 
请 求 方法 司 
告警 设置 


多 许 Referer 为 室 
日 志 
启用 
Referer 白 名 单 配 置 
请 求 方法 


Referer 白 名 单 ” 避 


图 2-75 “增加 防 跨 站 请 求 伪 造 规则 条 目 ? 界 面 


(21) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 防 跨 站 
请 求 伪造 规则 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 
“ 防 跨 站 请 求 伪造 规则 ”界面 ,可 见 添加 成 功 的 防 跨 站 请 求 伪造 规则 ， 

(22) 单 击 “Web 防护 ”>“Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 , 单 击 “ 增 加 十 ” 
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按钮 ,增加 防护 模板 。 

(23) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 CSRF,“ 防 跨 站 请 求 伪 造 规则 ” 
设置 为 “CSRF”, 其 他 保持 默认 配置 。 

(24) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 中 ,检查 成 功 添加 的 CSRF 防护 模板 。 

(25) 单 击 “Web 防护 ”>“Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 , 单 击 “增加 十 ” 
按钮 ,添加 CSRF 防护 策略 。 

(26) 在 “增加 Web 防护 策略 ”界面 中 ,输入 名称” 为 “CSRF 防护 策略 ”, 将 ”Web 防 
护 模板 ”设置 为 “CSRF”, 将 “访问 日 志 ” 设 置 为 “开启 ”, 取 消 勾 选 “ 启 用 ” 复 选 框 ,其 他 保 
持 默 认 配 置 。 

(27) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 中 ,可 见 成 功 添加 的 CSRF 防护 策略 ,配置 完毕 。 

【实验 预期 】 

(1) 未 启用 CSRF 防护 策略 时 ,用 户 访 问 危 险 网 站 导致 登录 密码 被 修改 。 

(2) 启用 CSRF 防护 策略 后 ,用户 访问 危险 网 站 ,CSRE 攻击 被 拦截 。 

【实验 结果 】 

1) 未 启用 CSRF 防护 策略 时 受到 CSRF 攻击 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 74CMS, 如 图 2-76 所 示 。 


74CMS:172.16.2.100 DY WA:172.10.2.200 


管理 机 ，10.0.0.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-76 进入 虚拟 机 


(2) 打开 火狐 浏览 郁 , 在 地 址 栏 输入 "http: //172. 16. 2. 200/login. php”, 按 Enter 键 
进入 DVWA 登录 界面 ,如 图 2-77 所 示 。 
(3) 本 实验 中 ,DVWA 的 默认 用 户 名 为 admin, 密 码 为 password。 在 Username 中 输 
人 admin,Password 中 输入 password, 然 后 单 击 Login, 如 图 2-78 所 示 。 
(4) 进入 DVWA 平台 后 , 单 击 界面 左 侧 导航 栏 的 *DVWA Security”, 修 改 DVWA 平台 
的 安全 级 别 ,在 “Security Level” 中 选择 Low, 单 击 Submit 按钮 ,如 图 2-79 所 示 。 
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亲人 性 他 编 轻 三) 查看 向 ”| 历时 访 】 书 答 让 1] 工 且 说) 和 才 助 冲 I 


轩 Login :: Tamn Yulnerabl'. x 


和 1 二 | 172 16.2.2000Lngin ph EES 二 | 由 时 靖 四 三 |- 


DWWAy 


Userrrarre 


Password 


Damr vulnerable Web Spplisaton tv is a RandomStorm DpenSiuree Projaet. 


2-77 DVWA 登录 界面 


立 件 多 | ”编辑 三) 查看 ”历史 (S 书签 旬 ) 工具 站 帮助 加 


图 Loginm :: Damn Vanarabl'… 其 es 


(€) 地 | 172.16.2. F001 ogin. yhp 


Username 


引 miin 


Password 


Camn Wylnerable Web loatontrC Wa is a RarndomsStorm OpenSource proejedt. 


图 2-78 登录 DVWA 
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也 性 位 篇 辑 跨 ] 查看 名 ”历史 I 书 葡 而 工具 民 ) 和 必 肿 以 I 


园 Di sccmity :: Jann ve x 了 


172. .2.2D0 securi ty. php 家 :三 本 - 傅 侣 和 | 
DWWA) 


Fa DVWA Security §® 
nstuctions | | 
[SGRRREGU ll Secunty Level 


Securiy level is currently: impossible. 
Brute Force | | | | | | i 
You can set the security level to low, medium, high or impossible. The security level changes the vulnerability 
Command Injection | level of DV A 
CS3RF 1. Cow - This security level is completely vulnerable and has no security measures at all. lt's use is to be 
Eile Inclusion | as an example of how web application vulnerabilties manmtest through bad coding practices and to serve 
as aplattorm to teach or earn basic explotation techniques. 
File Upload | 2. hlediurm - This setting 1s mainly to gve an exatmple to the user of bad security practices, where the 
developer has tried but failad to sacure an application. th alsn acts as a challenge to users io refine their 
Insecure CAPTCHA | exploitation techniques. 
a 3. High - This opiion Is an extension to the medium difficulty, with a mixiurs of harder or alternative bad 
SQL Inieciomn | practices to attermpt to secure the code. The vulnerability may not allow the same extent of the 
5QL Injection iBlind) | exploitation, similar In various Capture The Flags (TF competitions. 
. [mpuassible - This level should be secure against all vulnerabilities. lt is used to compare the vulnerable 
XSS (Reflected) | 


XSS (Stored) Priority to CV, v1 .3, 1his level was known as high. 
[Low 国 


图 2-79 ”修改 安全 级 别 


(5) 再 单 击 界面 左 侧 导航 栏 的 CSRF ,会 出 现 修改 登录 DVWA 平台 密码 的 界面 ,如 
图 2-80 所 示 。 


立 伞 让) 编辑 时 ) 查看 m 历史 站 1] 书签 书 ) 工具 闻 1 和 必 助 他) 


Vulnerability: Cross Si 其 十 


必 > ) 172.16.2.2007 ninerabiliilesr/ esrt 


rE ] Vulnerability: Cross Site Request Forgery (CSRPF) 


netructione | Change your admin password: 
setuph :Reset DE | 


Brute Force | 

Command Injection | i 
| / 

File Inclusion | Change | 

File Upload | 

Insecure CAPTCHA | More Information 
30L Injection | 

30L Injection 个 lin 中 | 

X55 Reflected | 

5 性 trB 册 | 


DNA Security | 


mln 8-- 虑 一 | 


网 Bww pacevward: 


图 2-80 ”修改 密码 界面 


(6) 不 要 关闭 上 述 页 面 , 单 击 任 务 栏 的 “十 ”打开 一 个 新 标签 页 ,在 地 址 栏 中 输入 
“http: //127.0.0.1/fun. html”, 该 页 面 是 模拟 用 户 访问 的 危险 网 站 ,如 图 2-81 所 示 。 
(7) 右 击 主页 面 ,选择 “查看 页 面 源 代 人 码 ” 查 看 危险 网 站 的 源 代码 ,“Get it1” 的 超 链接 
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如 上 件 站 ) 编辑 永 ) 查看 站) 万 中 总 ) 书 警 站] 工具 讶 1 和 的 页) 
htip: M2T.0.0.1/fon htnl ¥ Ws 


1| 才 | 沸 | 127.0.0.17fan htnl 
a = 


Get itl 


图 2-81 模拟 危险 网 站 


实际 上 是 发 送 修 改 DVWA 平台 密码 的 请 求 ,如 图 2-82 所 示 。 


训 件 里 线 辑 蝶 ] 查看 历 呆 友 】 书 获 糯 ) 了 工具 tI 希 助 HI 


je a http :12T. .0.1 Eon. htnl 


Ee re htip: dl27T.0.0. 7Earn html | 以 要 索 | 全 Ee 村 前 要 


“html > 

<body» 

“a href="btip :A To, 16, ©, 200 mul nerabilitie/ csrt/ dassword new-l23Easeword conf-123b 0hanee-Chanee Fdet 11!l</ay 
‘<bhodyy 

“A/html» 


图 2-82 危险 网 站 源 代码 


(8) 返回 危险 网 站 界面 , 单 击 “Get it1”, 如 图 2-83 所 示 。 


文件 他 户 撮 号 查看 名 ”历史 8 书签 映 工具 t 禹 助 遇 ) 
[htip: erl2T.0.0.1Jfan htnl tT es 


| 专 ) 矿 | 127.0.0.17fan. htnl 


a 


Bet itl 


2-83 单 击 “Get it!” 


(9) 页 面 跳 转 至 DVWA 修改 密码 界面 ,并 且 显 示 “Password Changed”,CSRF 攻击 
成 功 ,DVWA 平台 的 登录 密码 被 修改 为 123, 如 图 2-84 所 示 。 


文件 中 连 召 后) ”查看 的” 历史 个 i 书 营 全 | 工具 位 | 帮助 各 1 


Ed Vilnerability: Cross Sir MM | 图 Yulnerability: Cross Si'" HM 


(二 一 | LT2.18.2.20D/minerebilitie | 字 | 自 县 病 避 


个 或 多 个 已 安装 的 附加 组 任 无 法 通过 验证 并 已 被 禁用 。 详细 了 解 必 | 


pe ] Vulnerability: Cross Site Request Forgery (CSRF) 


nstuctions | Change your admin password: 
Setup/ Reset DB | 


New passmotd 
Bruie Force | > 
Command Injection | Canim new password: 


CRF | 

File Inclusion | Chanye | 
ee | Fassvord Charged. 
Insecure CAPTCOHA 

SOL lnjection | 
SQL lnjection (En 而 | 


XSS (Reflected) | 
XSS [Store 中 | 


More Information 


图 2-84 ”CSREF 攻击 成 功 
104 


ESEISESESESEGESGEGSEG 第 2 和 章 Web 应 用 防火 墙 安全 防护 应 用 mw 


(10) 在 地 址 栏 输入 “http: //172. 16. 2. 200/login. php”, 返 回 DVWA 平台 登录 界 
面 ,Username 输入 admin, Password 输入 123, 单 击 Login,; 成 功 登 录 DVWA 平台 ,如 
图 2-85 所 示 。 


次 几 立 ] 芒 辑 和 让) 查看 各 ) 历史 站 ) 书 管 甸 ) 工具 站 |] 和 助 革 | 和 = 上 口 | 对 | 


司 Vnerability: Cross Si | pa if :: Damr Winerabl: 


(< 十 |172 16.2 200/1ogin s J 搜索 疗 | 自 时 佣 西 
时 一 个 求 名 个 已 安装 蜀 附 加 租 忻 元 法 涌 过 验证 并 已 恋 禁 用 。 详细 了 胡 马 ) | 其 


一 站 
pu) 


和 业 


Username 


admim 


passyword 


坚 图 哪 


isaRandimsStom 门 PenSnurcs projedt 


2-85 ”成功 登入 DVWA 


(11) 返回 第 一 个 便签 页 ,在 “New Password” 中 输入 password,“Confirm new Pass- 
word” 输 入 password, 单 击 Change, 把 密码 重新 修改 回 password, 关 闭 火 狐 浏 览 右 ,如 
图 2-86 所 示 所 


玄 件 亚 ) ” 博 福 中] 查看 癌 ”太史 人 性) 书 狂 二 ) 工具 让] 和 天 助 全 I 


| Winerability: CLross SI 其 


AR 
| 二 ) 淖 | 0.1B.2 200iralnerahilitiasfesry 和 搜 素 证 | 自 团 业 前 全 


Home Vulnerability: Cross Site Request Forgery (CSRF) 


nstmuctions | change your admin password: 
Setuh /Reset DB 


Mew Password: 
Brute Force | | 
Command Injection | Contfirm new passward 
File Inclusiom | 


File Upload | 
Insecure CAPTCHA | More en 
SQL Injection | 
SOL Injection (Blindi | 
XSS (Reflected) | 
3 (It0Te 出 | 


DA Security | 
PHP Info | 
About | 


Logout | 
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2) 启用 CSRF 防护 策略 后 CSRF 攻击 被 拦截 

(1) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 防火 墙 产 品 的 下 地 址 “https:/710. 0.0. 1”( 以 
实际 设备 下 地 址 为 准 ) ,进入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 admin 
登录 防火 墙 。 单 击 面 板 左 侧 导 航 栏 中 的 “Web 防护 ”> Web 防护 策略 ”。 在 “Web 防护 策 
略 ” 界 面 中 ,双击 “CSRF 防护 策略 ”, 如 图 2-87 所 示 。 


十 Web 防 护 第 喀 


[名 称 

口 记性 上 人心 
回民 电 防护 

口 | 防 至 只 

|_」 CSRF 和 6 护 第 槛 


Web 了 护 策略 
Web 防 护 栈 板 
Web 防 护 规则 
自学 习 第 本 

中 ”安全 情 扎 中 心 

哩 ”访问 控制 

因 ”网 页 防 特 改 

人 ” 扫 撞 圳 

达 DDos 防 护 

丰 网 站 云 防护 


局 日 志 系 统 


到 admin 。 [ 吁 退出 


J 


于 曲 是 百 自 动 生成 


图 2-87 打开 “CSREF 防护 策略 ” 


(2) 在 “编辑 Web 防护 策略 ”界面 中 , 勾 选 “启用 ” 复 选 框 ,如 图 2-88 所 示 。 


编辑 Web 防 护 策 娩 
名 称 * 
服务 者 
Web 主 机 合 
源 IP 


Web 防 护 模板 


访问 日 志 


优先 级 * 合 


启用 


CSRF 防 护 策略 
测试 服务 十 


一 请 输入 或 选择 -- 


(0~10000) 


图 2-88 ”启用 CSRF 防护 策略 


(3) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 。 登 录 实 验 平台 中 
对 应 实验 拓扑 左 侧 的 74CMS。 打 开火 狐 浏 览 器 ,在 地 址 栏 输入 “http: //172. 16. 2. 200/ 
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login. php”, 按 Enter 键 进入 DVWA 登录 界面 。Username 输入 admin,Password 输入 
password , 单 击 Login 登录 DVWA 平 台 。 

(4) 进入 DVWA 平台 后 , 单 击 界面 左 侧 导航 栏 的 “DVWA Security”, 修改 DVWA 
平台 的 安全 级 别 , 在 “Security Level” 中 选择 Low, 单 击 Submit 按钮 。 

(5) 不 要 关闭 上 述 页 面 , 单 击 任务 栏 的 “十 ”打开 一 个 新 标签 页 ,在 地 址 栏 中 输入 
“http: //127.0.0.1/fun. html”, 访 问 危 险 网 站 , 单 击 “Get it1”, 如 图 2-89 所 示 。 


芯 件 qf) 编 各 代 ) 查看 WW 坊 史 [E79 0 于 


[加 htip: 关 127.0.0.1ufun htnl X Ws 


和 1 二 | 127.0.0.1ifun htnl 


图 2-89 访问 危险 网 站 


(6) 出 现 “404 Not Found” 页 面 ,说 明 CSRF 攻击 已 经 被 Web 应 用 防火 墙 拦 截 , 如 
图 2-90 所 示 。 


立 件 全 和 病 辑 正 ) 查看 必 ) 应 中 站) 书 等 站) 工具 立 ] ”天 助 属 ) 
CA DW Seearity :: Dann Y 其 404 Hot Fownd 


(€ Js ， 172. ]6B.2.200 merabhilLitiesresr EaSSword Tew=l23Rpassw eo TL Hoe] 


404 Not Found 


到 2-90 ”拦截 页 面 


(7) 在 管理 机 本 地 机 打开 浏览 占 , 在 地 址 栏 中 输入 防火 墙 产 品 的 IP 地 址 https: // 
10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
admin 和 密码 admin 登录 防火 墙 。 单 击 面 板 左 侧 导 航 栏 中 的 “日 志和 系统 ”一 “攻击 日 志 ”。 
在 “攻击 日 志 ” 界 面 中 ,可 见 阻 断 的 CSRF 攻击 要 求 ,符合 预期 要 求 , 如 图 2-91 所 示 。 

【实验 思考 】 

为 什么 只 有 同时 打开 DYWA 平台 及 危险 网 站 页 面 CSRF 攻击 才能 生效 ? 

217 Web 应 用 防火 墙 特征 防护 实验 

【实验 目的 】 

管理 员 通 过 配置 特征 防护 规则 ,使 Web 应 用 防火 墙 可 以 防护 在 预定 义 特 征 库 中 的 攻 
击 行 为 ,同时 也 可 以 防护 自 定义 特征 库 中 的 攻击 行为 。 

【知识 点 】 

特征 防护 .特征 库 。 

【场景 拉 述 了】 

A 公司 发 布 了 一 个 Web 服务 ,为 了 保障 Web 服务 器 的 安全 ,公司 领导 要 求 安 全 运 维 
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放 主页 面 

沁 系统 配置 

了 同 撞 车 理 

同 服务 器 管理 
本 本 号 坚 砧 对 党 
Web 防护 
十 安 主 情报 中 心 


四 ”访问 控制 


十 现 击 日 志 


每 五 吕 示 | 15 ， 


2017-11-30 22:2548 
2017-11-30 22:1407 
2017-11-30 21:5722 
2017-11-30 21:57:1#4 
2017-11-30 21:5709 
2017-11-30 21:5704 
2017-11-30 21:50:32 


172.16.2.100 


172.16.2.100 
?72.62,100 
172, 6.2.100 
Ira B2100 
172. 16.2.100 
i26100 


源 汕 口 站 点 域名 /IP 


172.16.2.200 


172.16.2.200 


2 i216.2,.200 


T7216.2.200 
1r2.16.2.200 
72.16.2.200 
T726200 


vulnerebilitie,., 


oginphp 
’ 
Hindax.php 
时 


[#2 | | | 起 主 | 导 册 车 如 


password ne,,, 


沪 落 站 请 求 易 .… 
让 将 站 请 求 的 -. 


证 admin 


加 网 页 防 扎 改 
| 当前 1 - 8 ,总 共 呈 笠 记 孙 
@， 扫 接 需 


了 DDos 防 摔 


图 2-91 “攻击 日 志 ” 界 面 


工程 师 小 王 通 过 配置 Web 应 用 防火 墙 实现 对 服务 器 的 SQL 注入 攻击 防护 ,请 思考 小 王 
应 如 何 操作 。 


【实验 原理 】 

Web 应 用 防火 墙 的 特征 防护 规则 分 为 两 种 : 一 种 为 预定 义 特征 库 防 护 规则 ,另外 一 
种 为 自 定 义 特征 库 防 护 规则 。 

预定 义 特 征 库 是 系统 默认 的 规则 库 , Web 应 用 防火 墙 会 定期 发 布 最 新 的 特征 库 , 用 
户 可 以 通过 厂商 的 网 站 获取 最 新 的 特征 库 。 

自 定 义 特 征 库 是 用 户 发 现 某 些 特征 通过 预定 义 特征 库 没 有 防护 成 功 ,用 户 可 以 将 该 
攻击 行为 特征 添加 至 自 定义 特征 库 中 ,并 通过 Web 防护 策略 引用 达到 防护 效果 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 ,Windows 7 主机 2 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-92 所 示 。 

【实验 思路 】 

(1) 设置 特征 防护 规则 。 

(2) 增加 Web 特征 防护 模板 ,引用 特征 防护 规则 。 

(3) 增加 Web 特征 防护 策略 ,引用 Web 特征 防护 模板 。 

(4) Web 防火 墙 识别 SQL 注入 攻击 并 产生 攻击 日 志 。 
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PC:172.16.2.200 Web 上 服务 十 :172.16.2.100 


管理 机 : 10.,0.0,22/24 
图 2-92 Web 应 用 防火 墙 特征 防护 实验 拓扑 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“网 络 管理 ”>“ 网 络 接 口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ”* 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridge12 ,其 他 保持 默认 配置 。 

(7) 单 击 "保存 ”按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 2 按钮。 同样 ,在 "Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridge12, 其 
他 保持 默认 配置 。 

(8) 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 按钮。 返回 “Port 接口 ” 
界面 中 ,可 见 GE2、GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”>“ 普 通 服 务 器 管理 ”, 在 “HTTP 服务 
器 ”界面 中 , 单 击 “ 增 加 十 ?按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 “172. 16.2.100/24”,“ 端 口 ” 为 80, 设 置 “部 署 模 式 ” 为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 絮 ” 界 面 ,返回 “HTTP 服务 器 ?列表 界面 ,检查 已 添加 的 HTTP 服务 硕 信 息 。 

(12) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 防护 规则 ”一 “特征 防护 规则 ”， 
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在 “特征 库 描述 ”>“SQL 注入 ”界面 中 , 列 出 Web 应 用 防火 墙 中 预 设 的 SQL 注入 特征 规 
则 ,如 图 2-93 所 示 。 


号 aimin 咕 到 直 
明 主 而 而 + 特征 库 沪 运 ”二 亲征 坑 吊 
况 系 幸 节 置 注入。 村 站 轿 本 攻 员 MXS3| 。 拓 荆 器。 世 理 和 本。 防 取 让 。 协 说 完 时 性。 下 出 琴 全 用户 下 去 站 
己 网 舍 马 理 -| 禾 证 项 则 号 避让 以 避 仙 得 | 各 三 
疝 ， 昭 本 贿 氏 理 图 | 1 HH 过 地 HTTF 画 孙 所 时 党 唱 兴 二 中 辣 雪 有 50L 滞 训 折 襄公 基于 空 ,名 :EEan 引 党 
加 1 罗 i HTTF 丁 站 硒 二 汪 枉 下 商 立 丙 5QUL 汪 疝 扫 高 作乱 囊 宇 ,如 1 Wan do 各 
各 基 员 天 亲 | 二 5 本 条 HTTP 击 以 邮 商 吕 条 时 让 是 放 纤 的 5G 否 苛 ， 可 肯 世 执行 去 的 要 记 理 向 ， 导 天 归 -， 
有 Wiab 旷 时 |] na 5 政司 HTTE 请 专 坊 再 屋 短歌 地 占 癌 守 本 95 草本 司 ,可 藤 生 执行 ;去 的 重启 记 月 ， 导 政 家 -， 
0 wa 二 i 要 宇 庆 三 基 HTTP 请 在 扣 部 总 训 天 旺 寺 外 妆 有理 疝 时 二 可 全 局 斑 量 的 5 本 司 寺 枉 字 ,如 | 是 version 
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HTTF 才 该 司 驴 栅 则 | Ise 执行 王 沁 加 扩 让 近 阳 HTTB 请 可 所 于 画 慑 是 于 中 公测 区 潜 过 六 吉 呈 卫生 半 用 字 
HTTF 访 问 术 珊 央 出 | 1053 纪行 栈 蝇 这 扩 让 这 得 HTTP 蔽 生体 亢 逐 奏 数 十 皮 击 散 扣 让 扩 必 过 公 乏 关 主 本 
季 证 荔 李 类 别 | _ | wee 之 虽 声 明 HTTE 码 水 则 天 语 没 才 玛 中 外 出 有 5Q1 调 名 的 可 县 声明 的 半 肆 宁 , 可 弱 王 行 一 此 证 四 训 -. 
在 季 博 痕 中 ;规则 ,| ms1 训 晶 吝 明 HTTP 谓 簿 不 离 各 志 圾 中 外 二 而 5Q1L 调 名 的 查 量 声明 的 关 肆 宁 , 可 能 三 行 一 得主 四 训 -. 
三 中 防护 ,| nn eel CT HTTP 本 于 高 级 Een 
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甸 生 站 请 求 伯 省 内 则 ,| ras Tr HTTF 再 也 只 时 高 骂 rr 起 峙 清 玛 
立信 上 伟业 人 3 1 - 15 ,总 其 孔 韦 澡 时 : B23|3 
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白 闻 刁 第 中 
am 


图 2-93 SQL 注 人 规则 界面 


(13) 单 击 界面 上 方 的 “特征 规则 ”, 在 “特征 规则 ”界面 中 ,双击 “Default Monitor”, 如 
图 2-94 所 示 。 


和 特征 库 撕 玉 ”中 特征 规则 


L | | Cafault Low 
| Getaukt Middle 
[| Default High 


Web 防 护 第 隋 

Web 防 殷 悍 板 

出 Bb 防 护 规则 
HTTP 协 入 校 验 规 则 
HTTER 访 问 控 埋 湖 出 
特征 防护 规则 
安全 情报 中 心 规 则 
许昌 防护 规则 
[| 
陆 芒 站 请 来 仿 计 规则 
谱 忻 上 传 规则 
文件 下 载 规则 
敏 莓 侣 县 榨 测 扶风 
级 过 三 榜 测 疯 则 

白 学 习 策略 


图 2-94 打开 “Default Monitor” 


(14) 在 “编辑 特征 规则 ”界面 中 ,默认 已 勾 选 “SQL 注入 ” 右 侧 的 “日 志 ” 复 选 框 ,说 
明 当 防火 墙 检测 到 SQL 注入 时 会 产生 日 志 信 息 。 其 他 保持 默认 配置 不 变 ,如 图 2-95 
所 示 。 
(15) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 特征 规 
则 ”界面 。 单 击 “Web 防护 ”>“Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 单 击 “ 增 加 十 ” 
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图 2-95 ”编辑 特征 规则 


按钮 ,增加 防护 模板 。 

(16) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “特征 防护 模板 ”, 设 置 “ 特 征 防 
护 规则 ”为 “Default Monitor”, 其 他 保持 默认 配置 不 变 。 

(17) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,关闭 “增加 Web 
防护 模板 ?界面 ,完成 添加 防护 模板 。 

(18) 单 击 "Web 防护 ?一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ?界面 中 单 击 " 增 加 十 ” 
按钮 ,增加 防护 策略 。 

(19) 在 “增加 Web 防护 条 略 ? 界 面 中 ,输入 "名 称 ? 为 “特征 防护 策略 ” ,设置 “服务 需 ” 
为 “测试 服务 器 ”,“Web 防护 模板 ”为 “特征 防护 模板 ”, “访问 日 志 ” 为 “开启 ”, 勾 选 “ 启 用 ” 
复 选 框 ,其 他 保持 默认 配置 。 

(20) 单 击 "保存 ?按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 "增加 Web 
防护 策略 ?界面 ,返回 "Web 防护 策略 ?界面 ,检查 已 添加 的 防护 策略 。 

【实验 预期 】 

(1) PC 能 正常 访问 Web 服务 器 网 站 页 面 。 

(2) Web 应 用 防火 墙 对 SQL 注入 进行 识别 并 记录 进攻 击 日 志 ”。 


【实验 结果 】 

1) PC 能 正常 访问 Web 服务 器 网 站 页 面 

(1) 进入 实验 平台 对 应 的 实验 拓扑 ,登录 左 侧 的 PC 虚拟 机 ,如 需 登 录 密 码 ,输入 
123456 ,如 图 2-96 所 示 。 

(2) 在 虚拟 机 中 , 单 击 打开 终端 ,如 图 2-97 所 示 。 

(3) 在 终端 中 ,输入 命令 firefox 并 按 Enter 键 ,打开 火狐 浏览 器 ,如 图 2-98 所 示 。 
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Web 服 务 器 ，172.16.2.100 
PC:172.16.2.200 eb 上 服务 本 : 


10.0.0.1/24 


到 
mn 


(GE 1] 


管理 机 : 10.0.0.22/24 


图 2-96 打开 实验 虚拟 机 
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kk 


帮助 (H) 


(process: 1123): 
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图 2-98 ”打开 火狐 浏览 器 
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(4) 在 浏览 器 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 “172. 16. 2. 100” ,并 按 Enter 键 ， 
进入 Web 服务 需 网 站 首页 , 单 击 首页 中 方 框 所 标 商品 ,如 图 2-99 所 示 。 
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图 2-99 打开 商品 


(5) 网 页 链接 跳 转 到 “172. 16. 2. 100/Show. aspx?PID 王 32”, 猜 测 此 处 可 能 存在 SQL 
注入 点 ,如 图 2-100 所 示 。 
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您 的 位 置 : 商战 首页 >> 译 盟 


以 


购 


主 进 因 物 萤 - 网 格 Eshop 


志 路 内 部 里 
sem 
引 贤 联 训 由 
中 0L 新 于 购买 | 收藏 ‖ 推荐 
尝 春 夏 手 登 
中 情 恒 饰 昌 
坦 下 UESS 医 腔 息 


图 2-100 进入 目标 网 页 
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2) 对 Web 服务 器 网 站 进行 SQL 注入 攻击 ,产生 攻击 日 志 
(1) 在 虚拟 机 中 ,关闭 火狐 浏览 器 返回 终端 ,输入 命令 “sqlmap -u 172. 16. 2. 100/ 


Show. aspx?PID 二 32” 并 按 Enter 键 ,尝试 对 Web 服务 器 网 站 进行 言 注入 攻击 ,如 图 2-101 
所 示 。 


roat® kali: 二 
训 件 IF 编辑 (IE) 查看 (V) 的 案 (5) 线 庙 ( 阳 助 [HI) 


图 2-101 对 Web 服务 器 进行 育 注 人 攻击 


(2) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 * 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “日 志 系 统 ”~”“ 攻 击 日 志 ”。 在 “攻击 日 志 ” 界 面 中 ,可 见 讶 注入 攻击 的 

志 ,说 明 特 征 防 护 配置 生效 ,如 图 2-102 所 示 。 

【实验 思考 了】 

(1) 如 何 设 置 Web 防护 规则 可 使 Web 应 用 防火 墙 能 阻 断 SQL 注入 攻击 ? 

(2) 如 何 设 置 Web 防护 规则 可 使 Web 应 用 防火 墙 能 识别 并 记录 跨 站 脚本 攻击 ? 


218 Web 应 用 防火 墙 文 件 上 传 检测 实验 


【实验 目的 】 
管理 员 可 以 通过 配置 文件 上 传 检测 规则 ,使 Web 应 用 防火 墙 对 上 传 文件 类 型 ,文件 
扩展 名 、MIME 类 型 和 Shell 类 型 进行 检测 ,防止 攻击 者 上 传 恶 意 软件 获取 网 站 后 门 。 
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LE 


亩 计 日 志 当前 二- 15 , 点 失 1,125 条 记录 
访问 日 志 

了 庙 击 日 志 

CDGoS 日 志 

网 页 防 音 改 日 志 


图 2-102 产生 攻击 日 志 


【知识 点 】 
文件 上 传 规则 、 防 护 策 略 、 防 护 模板 。 


【场景 描述 ]】 

A 公司 使 用 Web 应 用 防火 墙 设备 为 FTP 服务 器 提供 网 络 安全 防护 ,文件 的 上 传 和 
下 载 都 需要 经 过 防火 墙 的 监测 。 近 日 ,安全 运 维 工程 师 小 王 发 现 FTP 服务 船上 存 有 攻击 
者 上 传 的 一 句 话 木马 脚本 文件 ,通过 它 ,攻击 者 完全 可 以 进入 公司 内 部 网 络 并 做 一 些 破坏 
性 工作 。 小 王 急 需 配 置 一 个 安全 有 效 的 Web 防护 策略 抵御 攻击 者 上 传 恶 意 文件 这 一 行 
为 ,请 思考 小 王 应 如 何 操作 。 


【实验 原理 】 

文件 上 传 攻击 是 指 攻 击 者 利用 Web 应 用 对 上 传 文件 过 滤 不 严 , 导 致 可 以 上 传 应 用 程 
序 定义 类 型 范围 之 外 的 文件 到 Web 服务 硕 。 比 如 可 以 上 传 一 个 网 页 木马 ,如 果 存 放 上 传 
文件 的 目录 刚好 有 执行 脚本 的 权限 ,那么 攻击 者 就 可 以 直接 得 到 一 个 WebShell。 管 理 员 
可 在 <“Web 防护 ”一 “文件 上 传 规则 ”中 新 增 并 配置 文件 上 传 规则 , 并 在 “Web 防护 ”一 
“Web 防护 模板 ”中 新 增 模 板 并 引用 文件 上 传 规则 ,之 后 在 “Web 防护 ”一 ”Web 防护 策 
略 ” 中 添加 Web 防护 策略 和 新 增 的 防护 模板 让 文件 上 传 规 则 生效 ,使 得 Web 应 用 防火 墙 
根据 文件 上 传 规则 抵御 攻击 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终 顺 :， Windows 7 主机 1 台 ,Windows Server 2003 SP2 主机 1 台 ,Windows 

XP SP3 主机 1 人 台 。 
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【实验 拓扑 】 
实验 拓扑 如 图 2-103 所 示 。 


PC:172.16.2.200 


管理 机 : 10.0.0.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-103 Web 应 用 防火 墙 文件 上 传 检测 实验 拓扑 


【实验 思路 】 

(1) 新 建文 件 上 传 防 护 规则 。 

(2) 新 建文 件 上 传 防 护 模板 ,引用 文件 上 传 防护 规则 。 
(3) 新 建文 件 上 传 防 护 策 略 ,引用 文件 上 传 防护 模板 。 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 套 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”一 “网 络 接口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 * 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12, 其 他 保存 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel2, 其 他 保持 默认 
配 首 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 。 同 样 , 在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridge12, 其 
他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 。 返 回 “Port 接口 ” 


界面 中 ,检查 GE2、GE3 的 配置 信息 。 
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(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 在 “HTTP 服务 
器 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16. 2. 100/24”, “端口 ”为 80 ,设置 “部 署 模 式 ” 为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 右 ” 界 面 ,返回 “HTTP 服务 器 ?列表 界面 ,检查 已 添加 的 HTTP 服务 大 信息 。 

(12) 单 击 面板 左 侧 导航 栏 中 的 “Web 防护 ”>“Web 防护 规则 ”, 选 择 “ 文 件 上 传 规 
则 ”。 在 “文件 上 传 规 则 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 文件 上 传 规则 ,如 图 2-104 
所 示 。 


Web 防 护 策 略 
Web 防 护 昼 板 


Web 防 护 规 则 
HTTP 协 说 校 验 视 则 
HTTP 访 问 控制 视 则 
特征 防护 规则 
安全 情报 中 心 规则 
吗 电 防护 规则 
防盗 链 规 则 
防 联 站 请 求 雪 造 质 则 
训 忻 上 悟 规 则 
六 性 下 才 袖 则 
误 感 信息 棕 测 规 列 
融 杰 码 栓 列 规 则 


图 2-104 “文件 上 传 规则 ”界面 
(13) 在 “新 增 文 件 上 传 规则 ”界面 中 ,在 名称” 中 输入 “文件 上 传 规则 ”, “默认 动作 ” 
设置 为 “通过 ”, 如 图 2-105 所 示 。 
新 增 文件 上 传 规则 


名 称 ” 文件 上 传 规则 


图 2-105 “新 增 文件 上 传 规则 ?界面 


(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “新 增 文件 上 
传 规则 ”界面 , 单 击 “增加 十 ”按钮 ,如 图 2-106 所 示 。 
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新 增 文件 上 传 规则 


文件 上 传 规则 


例外 URL 。 处 建 动作 严 事 桥 列 。 文件 大 小 优先 钱 


re | wo 


图 2-106 “新 增 文件 上 传 规则 ”界面 


(15) 在 “新 增 文件 上 传 规则 和 条目” 界面 中 ,“ 处 理 动作 ”设置 为 “ 阻 断 ”, 其 他 保持 默认 
配置 ,如 图 2-107 所 示 。 


| 新 增 文件 上 传 规则 条 目 

基本 秀和 站 廊 件 类 型 MIME 尖 型 真实 文件 闪 弄 
例外 URL 二 全 
处 理 动作 虽 断 

广 生 级 曾 

文件 大 小 ” 各 字 节 


优先 级 *” 合 (0~10000) 


告 若 设置 _| 邮件 [| 短信 


日 志 
局 用 


图 2-107 设置 文件 上 传 规则 条 目 


(16) 单 击 “文件 类 型 ”, 勾 选 “ 启 
型 ” 框 中 ,如 图 2-108 所 示 。 

(17) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “新 增 文 件 上 
传 规则 ?界面 , 单 击 "保存 ?按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ?按钮 ,返回 "文件 上 
传 规则 ”界面 中 ,可 见 添加 的 文件 上 传 规则 ,如 图 2-109 所 示 。 

(18) 单 击 面板 左 侧 的 “Web 防护 ”一 “Web 防护 模板 ”, 在 “Web 防护 模板 ?界面 中 单 
击 “ 增 加 十 ”按钮 ,增加 防护 模板 。 

(19) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “文件 上 传 防 护 模 板 ”, 将 “文件 
上 传 规则 ”设置 为 “文件 上 传 规则 ”, 其 他 保持 默认 配置 。 

(20) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 ,可 见 增 加 的 防护 模板 。 
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新 增 文 件 上 传 规则 条 目 


基本 配置 ”| 文件 类 型 | MIME 当 型” 真实 文件 类 型 


启用 文件 类 型 检查 wi 
可 选 文 件 类 型 


图 2-108 设置 文件 类 型 


十 豆 件 上 传 规 则 


.名 竹 
充 件 上 和 传 规 则 


Web 访 护 策略 

Web 防 护 模 板 

Web[ 证 护 规 则 
HTTP 协 说 接 驼 规则 
HTTP 访 问 控制 规则 
特征 防护 规则 
安全 情报 中 心 规则 
雁 示 防护 规则 
防 咨 链 规则 | 
防 跨 站 请 来 的 造 和 规则 | 
记性 上 传 规则 
六 性 下 地 规则 
帘 翅 信息 榨 潭 规则 
珊 夺 码 榨 测 期 则 


2-109 ”成功 添加 文件 上 传 规则 


(21) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 “Web 防护 策略 ”, 在 ”Web 防护 策略 ” 
界面 中 , 单 击 “ 增 加 十 ”按钮 。 

(22) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “文件 上 传 防护 策略 ”,“Web 防 
护 模 板 ” 设 置 为 “文件 上 传 防护 模板 ”,“ 访 问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(23) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 中 ,检查 增加 的 防护 策略 ,配置 完毕 。 

【实验 预期 】 

(1) 添加 文件 上 传 策 略 后 ,PC 不 能 在 Web 网 站 中 上 传 PHP 类 型 文件 。 
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(2) 撤销 文件 上 传 策略 后 ,PC 能 上 传 PHP 类 型 文件 。 


【实验 结果 】 
1) 添加 文件 上 传 策 略 后 上 传 PHP 类 型 文件 失败 
(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 2-110 所 示 。 


Web 服 和 芳 项 : 172.16.2.100 
PC:172.16.2.200 


管理 机 : 10.0.0.22/24 
(以 实际 IP 地 址 为 准 ) 


图 2-110 ”登录 左 侧 虚拟 机 


(2) 在 虚拟 机 打开 I 浏览 器 ,在 地 址 栏 中 输入 “172. 16. 2. 100/DVWA” 后 按 


Enter 键 ,访问 网 站 。 在 首页 登录 界面 中 ,输入 Username 为 admin,Password 为 password 。 


(3) 双击 Login 按钮 ,如 果 浏 览 癌 弹出 确认 框 , 单 击 “ 是 ”按钮 。 在 跳 转 到 的 页 面 中 单 击 


“DVWA Security”。 在 跳 转 到 的 页 面 中 ,选择 low。 单 击 Submit, 可 见 网 站 的 安全 级 别 为 low。 
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(4) 单 击 左 侧 的 “File Upload”, 在 跳 转 到 的 页 面 中 单 击 “ 浏 览 ” 按 钮 ,如 图 2-111 所 示 。 


Tlnerabilitr: Eile pload :: Dann Walnerable Web koplication [yw SI TO Irnternet Eaplorer 
立 件 区 I] 蝙 柱 忆 ) 看 t 吕 上 收藏 凡 ] 工具 好 】 和 硕 驯 i) 


四 是 -四 -四国 的 用 和 岩 交 px 本 | 四. 朗 周 


起 站 加 ;五 ] http: rrl7z.16.2. 1D0rwalnarsbilitiasyraploady 


Vulnerability: File Upload 


lstrucnions | 
Choose ah imaye to upload: 
Setup/ Resel DB | 
上 
Brute Forece | ”| | 
Command lnje ction | Upload | 


CSRF 
File Inclusion More Information 


Insecure CAPTCHA 
SOL Injection | 


0L lnjection {Blindi | 
Ass (Reflected) | 
SS 人 Store 二 | 
DMNA Security | 
PHP lnfe | 
About | 
Louyout | 


2-111 选择 文件 


(5) 在 弹出 的 “选择 文件 ?界面 中 , 单 击 test. php, 单 击 “ 打 开 ” 按 钮 ,如 图 2-112 


所 未 。 


玩 择 奖 慎 
查找 范围 工 ): 


玄 件 名 吧 ) 


加 表面 


国 我 的 文档 
时 我 的 电脑 
例 网 上 邻居 
学 Nozilla Firefox 
加 实 验 工具 


Internet Explorer 


区 件 尖 型 并 ): 


Jtest. php | 
| 所 有 文件 Gk.*) "| 


图 2-112 ”选择 文件 


(6) 返回 页 面 , 单 击 Upload 按钮 ,如 图 2-113 所 示 。 


志 wualnecrabilitFrs Filc Upload = 
训 翌 人 ) 蝙 辑 区 ) 查看 忆 ) 收 靖 和 由) 工具 站 1 天 助 三 


Oe- 
[图 


(7) 页 面 显示 失败 信息 ,说 明文 件 上 传 失败 ,符合 预期 要 求 , 如 图 2-114 所 示 。 


Home | 
Inetructione | 
Setup Reset DB | 
Brute Force | 
Command Injection | 
CSRF 
es | 
Insecure CAPTCHA | 
SQL Injection | 
30L Injection (Blindl | 
X35 IReflected | 
其 生生 |Stored) | 
DVWA Security | 
PHP Infa | 
About | 


Lodgout | 


SN 嫩 


Http JilT?. LB.2.100f lnerabilities/ uload! 


Chonpse an image to upload: 


; Dam Yulncrablc Ycb Application (DYYAY wl.9 — Nicrosofti Intcrnct Explorcr 


Ee je ) 
四: 赂 国 过 


CDocuments and Settint [RR 噶 ,.. | 


More Information 


2-113 上 传 文件 
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0 Hot Eound 二 Nicrosoft TInternet Eaplorer 同上 回回 


文件 中 ) 编辑 企 ) 查看 0 尿 杆 由 工具 并 ) 和 玫 助 0 


-日 国 四 多 /A 7 因 | 四 -号 国 刘 


地 址 ttylT2 16.2. 100/ wlnerabilities/uploadt 


404 Not Found 


图 2-114 上 传 文件 失败 


2) 撤销 策略 后 ,成功 上 传 文件 

(1) 在 管理 机 打开 浏览 带 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “Web 防护 ?一 ”Web 防护 策略 ”。 在 ”Web 防护 策略 ”界面 中 双击 “ 文 
件 上 传 防护 策略 ”, 如 图 2-115 所 示 。 


咏 admin 罚 授 出 
ET 


贷 先 组 是 再 自动 生成 


Web 防 护 秆 略 
Web 有 防护 模板 
Web 防 护 规 则 
自学 当 苹 时 
于 ”安全 情报 中 心 
和 号 ” 访 同 控 员 
呈 网 页 防 复 改 
已 ， 扫 插 跨 
全 DDos 肪 护 
下 ” 同 站 五 防护 


所 日 志 系 统 


各 ， 分 析 系 统 


机 系 缠 诊断 


图 2-115 打开 防护 策略 


(2) 在 “编辑 Web 防护 策略 ”界面 中 ,取消 勾 选 “启用 ” 复 选 框 ,其 他 保持 默认 配置 ,如 
图 2-116 所 示 。 

(3) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 。 登 录 实 验 平 台中 
对 应 实验 拓扑 左 侧 的 PC, 进 入 虚拟 机 。 在 虚拟 机 中 ,修改 IE 浏览 器 地 址 栏 的 信息 为 
“172. 16. 2.100” 后 , 按 Enter 键 ,在 跳 转 到 的 界面 中 单 击 File Upload, 单 击 “ 浏 览 ” 按 钮 ， 
在 弹出 的 “选择 文件 ”界面 中 选中 test. php; 单 击 “ 打 开 ” 按 钮 。 返 回 页 面 , 单 击 Upload ,可 
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编辑 Web 防 护 第 酷 


Web 防 护 模板 
访问 日 志 
优先 级 ” 作 


局 用 


第 2 章 Web 应 用 防火 墙 安全 防护 应 用 


文件 上 传 防护 第 略 
出 试 服务 器 
-请 输入 或 选择 -- 


区 件 上 忧 防护 模板 


图 2-116 “编辑 Web 防护 策略 ”界面 


见 成 功 上 传 文件 ,符合 预期 要 求 ,如 图 2-117 所 示 。 


nerability: Fe Vpload =:: Dann Yolnerahle Web Application [wh — Wicrosoft Internet Eeplorer 
羡 件 区 1 著 各 调 i 查看 镁 ) 收 营 多] 工 且 代 ) 和希 助 证] 


轩 担 - 司 - 国 罗 得 记 


地址 种) 一 | lttp:mrITa 16. 2 L001lnerabilitie 


Home | 
Sotup/RosotDB | 
CSRF | 
FileUplond | 
Insecure CAPTCHA | 
SOL Injection | 
SOL lnjection iE li | 
XSS (Reflected) | 
XSS Store 由 | 
DVWE Security | 
PHP lnfe | 
Bbout | 
Ladout | 


【实验 思考 】 


来 7 天 好 也 "车 国 沪 


sjupl oad # 


Chonse an imade in0 upload: 
[EE 


More InNnformation 


咏 Internet 


图 2-117 成 功 上 传 文件 


如 何 设置 可 以 阻止 上 传 ASP 类 型 文件 ? 
219 Web 应 用 防火 墙 文件 下 载 检 测 实验 


【实验 目的 】 


管理 员 可 以 通过 配置 文件 下 载 检测 规则 使 Web 应 用 防火 墙 对 下 载 文 件 长度 、 文 件 扩 
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展 名 和 MIME 类 型 进行 检测 ,防止 信息 泄露 以 及 病毒 人 侵 ，。 


【知识 点 了 
文件 下 载 、 防 护 策略 、 防 护 模 板 。 


【场景 摘 述 】 

A 公司 使 用 Web 应 用 防火 墙 设备 为 FTP 服务 器 提供 网 络 安全 防护 ,文件 的 上 传 和 
下 载 都 需要 经 过 防火 墙 的 监测 。 近 日 ,安全 运 维 工程 师 小 王 接 到 领导 要 求 ,不 允许 员工 通 
过 FTP 服务 器 下 载 PHP 格式 的 文件 ,以 免 一 些 恶意 文件 被 员工 下 载 , 也 防止 一 些 恶意 攻 
击 者 对 公司 内 网 的 关键 文件 进行 下 载 。 请 思考 小 王 应 该 如 何 配置 Web 应 用 防火 墙 。 


【实验 原理 】 
由 于 业务 需求 ,网 站 可 能 提供 文件 查看 或 下 载 功 能 。 如 条 对 用 户 查 看 或 下 载 的 文件 
不 作 限 制 , 则 恶意 用 户 能 够 查看 或 下 载 任意 文件 ,可 以 是 源 代 码 文 件 . 敏 感 文件 等 。 攻 击 
者 可 构造 恶意 请 求 下 载 服 务 关 上 的 敏感 文件 ,进而 植 人 网 站 后 门 控制 网 站 服务 大 主机 。 
管理 员 可 在 “Web 防护 ”一 “文件 下 载 规 则 ”中 新 增 并 配置 文件 下 载 规 则 ,并 在 “Web 防 
”>“Web 防护 模板 ”中 新 增 模板 并 引用 文件 下 载 规 则 ,之 后 在 “Web 防护 ”一 “Web 防 
护 委 略 " 中 浴 加 Web 防护 策略 和 新 增 的 防护 模板 让 文件 下 载 规则 生效 ,使 得 Web 应 用 防 
火 墙根 据 文件 下 载 规则 保护 网 站 。 
【实验 设备 】 
。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 
。 主机 终端 ， Windows 7 主机 1 台 , Windows Server 2003 SP2 主机 1 台 ,Windows 
XP SP3 主机 1 台 。 
【实验 拓扑 】 
实验 拓扑 如 图 2-118 所 示 。 
[| GE2 ] 


PC:172.16.2.200 


管理 机 : 10.0.0.2/24 
(以 实际 IP 地 址 为 准 ) 


图 2-118 Web 应 用 防火 墙 文件 下 载 检测 实验 拓扑 
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【实验 思路 】 

(1) 新 建文 件 下 载 防护 规则 。 

(2) 新 建文 件 下 载 防护 模板 ,引用 文件 下 载 防护 规则 。 
(3) 新 建文 件 下 载 防护 策略 ,引用 文件 下 载 防护 模板 。 
(4) 验证 文件 下 载 策略 防护 效果 。 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 右 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
J //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 

管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”一 “网 络 接 口 ”, 单 击 “ 网 桥接 口 ”"”。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 增 
加 十 ”按钮 ,本 实验 中 ,接口 IP 地 址 输入 “172. 16. 2.50”, 子 网 掩 码 输入 “255. 255. 0.0”, 单 
击 “ 保 存 ” 按 钮 。 

(5) 单 击 “ 完 成 ”按钮 ,添加 网 桥接 口 。 

(6) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(7) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel12 ,其 他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridgel2, 其 
他 保持 默认 配置 。 

(9) 单 击 "保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ?按钮 。 返 回 “Port 接口 ” 
界面 中 ,检查 GE2 .GE3 的 配置 信息 。 

(10) 单 击 面 板 左 侧 导航 栏 中 的 “服务 器 管理 ”>“ 普 通 服 务 器 管理 ”, 在 “HTTP 服务 
器 ”界面 中 单 击 “ 增 加 十 ”按钮 ,增加 服务 器 。 

(11) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16. 2.200/16”, “端口 ”为 80 ,设置 “部 署 模式 ”为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 局 用 ” 复 选 框 。 

(12) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 紫 ” 界 面 ,返回 "HTTP 服务 器 ?列表 界面 ,检查 已 添加 的 HTTP 服务 善信 息 。 

(13) 单 击 面板 左 侧 导航 栏 中 的 ”Web 防护 ”一 "Web 防护 规则 ”, 选 择 “ 文 件 下 载 规 
则 ”。 在 ”文件 下 载 规则 ?界面 中 单 击 " 增 加 十 ”按钮 ,添加 文件 下 载 防护 规则 。 

(14) 在 “文件 下 载 规则 ”界面 中 ,“ 名 称 ” 输 入 “文件 下 载 规 则 ”,“ 上 默认 动作 ”设置 为 “ 通 
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过 ”, 单 击 “ 保 存 ” 按 钮 ,如 图 2-119 所 示 。 


新 增 文 件 下载 规则 


文件 下 载 规 则 


图 2-119 “新 增 文 件 下 载 规 则 ”界面 


(15) 在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “新 增 文件 下 载 规 则 ”界面 , 单 
击 “ 增 加 十 ”按钮 ,增加 文件 下 载 规则 条 目 ,如 图 2-120 所 示 。 


新 增 文件 下 载 规则 
Se 文件 下 载 模板 


歌 认 动作 通过 


EL 


| 启用 日 志 例外 URL ”处 理 动作 “严重 级 别 “文件 大 小 “优先 级 
没有 检索 到 数据 


图 2-120 新 增 文件 下 载 规则 条 目 


(16) 在 “新 增 文件 下 载 规则 条 目的 “基本 配置 ?界面 中 ”处理 动作 ”设置 为 " 阻 断 ”， 
其 他 保持 默认 配置 ,如 图 2-121 所 示 。 

(17) 单 击 “ 文 件 类 型 ”, 在 “新 增 文件 下 载 规则 条 目 ” 的 “文件 类 型 ”界面 中 , 勾 选 “启用 文 
件 类 型 检测 ” 复 选 框 ,在 “可 选 文件 类 型 ?中 单 击 选中 PHP, 其 他 保持 默认 配置 ,如 网 2-122 
所 示 。 

(18) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “新 增 文件 下 
载 规 则 ”界面 , 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “文件 下 
载 规则 ”界面 ,检查 添加 成 功 的 文件 下 载 规 则 。 

(19) 单 击 “Web 防护 ”一 “Web 防护 模板 ”, 在 ”Web 防护 模板 ?界面 中 , 单 击 "增加 十 ” 
按钮 ,增加 防护 模板 。 

(20) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “文件 下 载 模板 ”, 将 “文件 下 载 
规则 ?设置 为 “文件 下 载 规则 ”, 其 他 保持 默认 配置 。 

(21) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 中 ,检查 添加 的 文件 下 载 防 护 模 板 。 

(22) 单 击 “Web 防护 ”一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 


126 


EE 第 2 音 


Web 应 用 防火 墙 安 全 防护 应 用 


新 增 文 件 下 载 规 则 条 目 


基本 配置 | 文件 类 型 ”MIME 类 型 


例外 URL 全 二 


处 考 动 作 


严重 银 别 


文件 大 小 * 全 


优先 和 起 * 全 (0~10000) 


短信 


图 2-121 “基本 配置 "界面 


新 增 文 件 下 载 规则 条 目 
基本 配置 文件 类 型 MIME 类 型 
局 用 文件 类 型 检查 
可 选 文件 类 型 
avi 


mp3 
mp4 


jpg 
png 
bmp 
dll 


尼 凑 对 


图 2-122 “文件 类 型 ?界面 


按钮 ,添加 文件 下 载 策略 。 

(23) 在 “增加 Web 防护 策略 ?界面 中 ,输入 "名称 ?为 “文件 下 载 策略 ”, 将 "Web 防护 
模板 ”设置 为 “文件 下 载 模板 ” ,将 “访问 日 志 ? 设 置 为 "开启 ? ,取消 色 选 “启用 ” 复 选 框 ,其 他 
保持 默认 配置 。 

(24) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 中 ,可 见 成 功 添加 的 文件 下 载 策略 ,配置 完毕 。 

【实验 预期 】 

(1) 未 启用 文件 下 载 策 略 时 ,用 户 可 以 下 载 任意 格式 的 文件 。 

(2) 启用 文件 下 载 策 略 后 ,用 户 不 能 下 载 PHP 格式 的 文件 。 
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【实验 结果 】 
1) 未 局 用 文件 下 载 策略 时 可 下 载 任意 格式 文件 
(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 如 图 2-123 所 示 。 


Web 服 务 器 :172.16.2.100 
PC:172.16.2.200 服务 费 


管理 机 : 10.0.0.2/24 
(以 实际 IP 地 址 为 准 ) 


2-123 ”进入 虚拟 机 


(2) 打开 火狐 浏览 器 ,在 地 址 栏 中 输入 “http: //172. 16. 2. 100”, 按 Enter 键 进入 
Discuz 论坛 首页 ,如 图 2-124 所 示 。 


蒜 性 位 】 蜗 辑 站 ) 查 


证 治 首 页 收藏 本 站 


社区 动力 门 自动 营 录 。 找 回 客 吗 
DISCUZ 人生 最 | 立 团 注 轩 


证 荆 
热 粹 ; 括 动 可 丰 discur 


论坛 
半日; 2 | 昨日 :0 | 帖子 ; 1 | 魏 局 ; 1 | 欢迎 新 主 品 ; admin 最 新 目 宣 


Discuz! 


1 txt and png and php 
默认 版 块 /3) lil pp admin 


在 昂 会 员 - 1 人 在 办 - 工会 员 人 O 隐身 ) 0 位 蘑 志 - 景 高 记录 是 1 于 2019-4-14， 
问 营 理 。 加 翅 Wi 主 。 国 上 所 。 加 二 训 


Es 


图 2-124 Discuz 论坛 首页 


(3) 在 “用 户 名 ”处 输入 admin, 密 码 处 填 人 123456 , 单 击 “登录 ”。 然 后 在 弹出 的 验证 
窗口 中 按 要 求 输入 “验证 码 ”, 单 击 “ 登 录 ” 按 钮 ,如 图 2-125 所 示 。 

(4) 登录 完成 后 , 单 击 “默认 版 块 ” 中 的 帖子 “txt and png and php”, 如 图 2-126 所 示 。 

(5) 帖子 里 存放 有 3 个 可 下 载 的 文件 ,如 图 2-127 所 示 。 
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立 件 中] 吴 辑 全 ) 坦 看 必 ] 历史 蜗 ] 书 营 名 工具 年 硕 助 而 ) 
论坛 - Powered by Disenzl 其 5 
起 | 17216210 


令 洁 首页 局 阁下 站 


“社区 动力 
DISCUZ! 


帖子 热 提 : 活动 素 志 discuz 
沱 坛 请 补充 直面 的 登录 信息 
日 : 2 | 昨日 :0 | 帖子 : 1 | 全 员 ; 1 | 玖 迎新 壹 
Discuzl 办 六 下 图 中 尼 这 闪 
E | txt and 
| | | pha ard php 
默认 版 块 3) crin 


在 挫 呈 局 -1 工 点 和 在 旧 -会员 加 项 身 ), 1 位 和 洲 者 
问 管理 员 。 门 超 引 版 主 ”加持 ”加 I: 


当 毅 只 有 汶 客 或 隐身 会 员 在 瓶 


图 2-125 登录 Discuz 


立 件 吴 】 汰 辑 革 ] 查 者 册 认 虫 总 ) 


[| 容 由 各 合 
设 湖 首页 收 痊 于 站 


六 admin 在 线 我 的 “| 设置 | 消息 | 提 聘 | 剖 块 闪 理 | 管理 中 心 | 退出 
DISCUZ! 


积分 ; 5 用 户 钼 ; 督 理 后 


坛 


帖子 朴 圭 : 活动 亦 点 dscuz 
论坛 
售 日 ' 2 | 昨日 : 0 | 帖子 : 1 


r 我 的 帖子 ”最新 回复 
Discuzl 


oe txt and pno and php 
牧 认 版 鼎 [2) J 前 achnih 
在 续 会 品 - 1 人 人 在昌- 工会 员 (0 隐身 ), 0 位 游客 - 量 高 证 录 是 1 于 2019-4-14. 


回答 理 员 。 门 拒 3 乒 主 。 同上 疡 守门 关 吕 


图 2-126 进入 帖子 
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三 


io 和 营 理 中 必 其 | 新 标 黎 页 


让 点 表 于 1 站 前 | 只 看 庄 作 者 | 只 看 灵图 kk 榜 主 ” 电 境 直 法 | J 


了 了 本 
主题 | 帖子 | 积 仓 
营 理 员 
Ot 
和 站 下 
IP 编辑 禁止 帖子 清理 


2-127 ”帖子 内 容 界 面 


(6) 单 击 2. png, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 功 下 
载 PNG 文件 ,如 图 2-128 所 示 。 


如 件 他] 师 料 医 ! 查 看 丰田 史 总 ) 书 梧 证) 工具 站 科 助 0) 


:| hoard 管理 中 心 … 于 | 新 标 葡 而 新 标签 页 


(€) 入 | 172. 18.2. 100yform.phppmod=riewtlreaa&tid=4kertrc 熙 | 由 县 命 全 
论坛 块 兵 导 航 = 


io) Dienia! ;MA ) txt and png ard ph 


壤 迹 择 了 了 打开: 
加 2, TnFE 


. a 三 盖 件 其 型 : 开本 Inage (5.] 二 ) 
册 除 主题 | 升降 ”置顶 | 直播 | 高 这” 精 举 | 图 章 | 图 村 | 共同 | 移动 来 源 : http 492 18.8 100 


引 返回 列表 


可 插 , 0 | 同 复 : Ft Br and php [复制 笑 按 ] 党 相 雪 了 irofox 如 何 处 理 比 站 件 人 


f 打开 ,通过 由 ) 浏览 吧 … | 


四 可 点 南 于 1 簿 前 | 只 看 访 作 者 ”只 看 太 


[三 忆 后 自动 荣 用 由 同 的 动作 处 理 此 识 冻 件 。 他 ) 


2.png 115.12 EB, 下 载 ; 砍 洲 ' 癌 | 


2-128 下 载 PNG 文件 


(7) 单 击 “1. txt”, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 功 下 
载 TXT 文件 ,如 图 2-129 所 示 。 
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2.PNG [7 19 KB, 下 载 这 其 ; D) 
正在 打开 1.txt 
叔 选择 了 打开 : 


1 tt 
并 忻 兴 型 了 交 本 新 档 [32 字 节 ) 
来 福 : httpiAilT2. 16.2.200 


许 想 慨 Firefox 如 何 处 理 此 训 件 全 
加 打开 , 通过 0) |[ 记 可 本 侈 册 ) 而 


1 下 6 
主题 | 帖子 | 积分 


管理 品 

(车 祥 

竹马 5 

IF 编 缉 禁止 帖子 清理 


5.54 kD 下 并 :i 0 


图 2-129 下 载 TXT 文件 


(8) 单 击 index. php, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 功 
下 载 PHP 文件 ,如 图 2-130 所 示 。 


型 件 伴 】 蝙 辑 记 ) 普 看 摧 ”| 大 史 避 ) 书签 外 ) 工具 如 和 攻 助 让 ) 加 回回 
嘿 txt ard pne and php - “= 


i 万 ) 72. 18.2. 2D07iorun.php3madoiewthreadkhtitrl 玫 Lastpost 


伦 芭 
min 2.PMG [7.19 kB, 下 载 次 娄 ! 00) 
IETE 打 汗 indez- php 
任 运 择 了 打开 : 
1ndet. php 


七 件 芝 型 ， php Fila 感 .5 如] 
来 沽 : http: Al72.1B.2.2D0 


于 Firefer 如 何不 理 此 立 件 学 


加 打开 ,通过 由 ) 


1 由 本 
主题 | 帖子 | 积 总 
管理 员 
人 KR 
各 S 
IP 馈 辑 某 止 帖子 清理 


BS ] tt 
32 Bytes, 下 载 | 尖 涛 '' 0 


2-130 下 载 PHP 文件 


2) 启用 文件 下 载 策略 后 PHP 格式 文件 的 下 载 被 拦截 
(1) 在 管理 机 打开 浏览 带 , 在 地 址 栏 中 输入 防火 墙 产品 的 瑟 地 址 ”https:/ /10.0.0.17 


131 


EGG Web 应 用 防火 墙 技 术 及 应 用 实验 指导 IE 


(以 实际 设备 耻 地 址 为 准 ), 进 人 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
admin 登录 防火 墙 。 单 击 面板 左 侧 导航 栏 中 的 “Web 防护 ”一 ”Web 防护 策略 ”。 在 “Web 防 
护 策略 ”界面 中 ,双击 “文件 下 载 防 护 策略 ”, 如 图 2-131 所 示 。 


点 sdmin Gs Hm 


[ss | | [n+ | | me 


局 用 付 先 级 是 否 自 动 生成 
茜 有 图 0 否 
楚 用 天 
楚 用 否 
CSRF 防 护 秆 蝴 : | 禁用 理 
wv| 六 件 下 莹 第 略 , 渤 旱 百 


同 eb 防 护 第 了 栈 
Web 防 护 樟 板 
Web 防 护 规 则 
自学 习 第 辐 
丰 点 证 情 抠 中 心 
昌 ”访问 控制 
全 ”网 而 防 简 改 
局 ”扫描 器 
于 DDos 防 护 
下 网 站 去 防护 


看 日志 系统 


图 2-131 打开 “文件 下 载 策 略 ” 
(2) 在 “编辑 Web 防护 策略 ”界面 中 , 勾 选 “启用 ” 复 选 框 ,如 图 2-132 所 示 。 


编辑 Web 防 护 策 略 
名 称 * 
最 务 屁 
Web 主 机 司 
源 IP 
Web 防 护 模 板 
访问 日 志 


优先 级 * 人 @ 


启用 


图 2-132 启用 文件 下 载 策 略 


(3) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 。 登录 实 验 平台 中 
对 应 实验 拓扑 左 侧 的 PC。 打开 火狐 浏览 右 , 在 地 址 栏 中 输入 “http: //172. 16. 2. 200”， 
按 Enter 键 进入 Discuz 论坛 首页 ,如 图 2-133 所 示 。 
(4) 在 “用 户 名 ”处 输入 admin, 密 码 处 输入 123456, 单 击 “ 登 录 ” 按 钮 。 然 后 在 弹出 的 
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记性 鱼 ) 师 辑 站 ”查看 以 所 中 外) 书签 钮 ) 工具 站 上 必 助 人 HI) 
伦 坛 - 入 bare by Discur! HN 


| 172. 16. £. 2007 forum. php 


设 泽 首页 收 项 记 站 


社区 动力 器 自动 登录 找 回 密码 
DISCUZ! | 立即 注册 


论坛 


志 折 : 稍 动 全 虚 discuz 
论坛 
今日 ; 1 | 时 日 :0 | 帖子 : 1 | 社员 : 1 | 深 迎 新宇 员 ; admin 


DIscue! 


txt and png and php 


默 让 版 块 [1] 半 小 时 诈 acmin 


在 厂 云 员 -0D 人 在 线 - 口 去 员 (0 隐身 ), 0 位 将 者 - 最 高 记录 是 1 于 2017-12-5. 


管理 员 。 门 超 绒 版 主 。” 加 板 主 ”门生 员 


当前 只 有 游客 或 隐身 室 员 在 让 


图 2-133 ”Discuz 论坛 首页 


验证 窗口 中 按 要 求 输入 “验证 码 ”, 单 击 “ 登 录 ” 按 钮 ,如 图 2-134 所 示 。 


节 忻 全 ) 编辑 他 查看 站 ” 历 史 售 ) 书签 司 ) 了 工 上 县 民 ) 和 客 助 中) 男 回 区 | 
论坛 - Fowared by liseazl 半 | 
= | | 172.16.2.200 Ecorum php 


询 淹 首页 收藏 本 站 


热 掀 : 活动 王 点 discur 


请 补充 下 血 的 登录 信息 


今日 1 | 昨日 : 0 | 帖子 ; 1 | 会 员 : 国 验证 玛 :|ezsp | 热 -个 


输 六 下 图 中 的 字符 


| 
e730 
txt and png and pho 


[|] 自动 登录 半 小 时 前 admin 


Discuz! 


默认 不 块 |1) 


在 色 会 员 - 0 人 在 序 - 0 会 员 [0 隐身 


管理 癌 本 契 肯 版 主 [上 


当前 只 有 游客 或 隐身 会 员 在 绕 


图 2-134 登录 Discuz 


(5) 登录 完成 后 , 单 击 “ 默 认 版 块 ” 中 的 帖子 “txt and png and php”, 如 图 2-135 
所 示 。 

(6) 单 击 2. png, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 功 下 
载 PNG 文件 ,如 图 2-136 所 示 。 
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文件 色 闹 辑 色 ) 查看 他 历史 EE) 书签 包工 具 人 帮助 人 0 


伦 坛 -~ Fowered by Discur! 项 上 


D172.16. 2 200 Forum. thrp 
令 六 首页 收藏 本 站 


/社区 动力 admin 在 线 | 我 的 。 设置 | 消息 | 提醒 。 | 模 决 管理 | 管理 中 心 | 退出 
DISCUZI 积分; 5 用 户 姐 ; 管理 员 
帖子 趣 棉 : 省 动 普 直 discuz 


伦 坛 
今日 : 荆 | 昨日 : 0 | 帖子 :1 |: l 员 ， i 我 的 帖子 | 最 新 回复 
Discue! 


txt and ENng snd php 
| 默认 版块 i1) 11 1 半 小 时 前 admin 


在 雌 衬 品 - 1 人 在 肉 -1 会员 避 O 随身 1).0 全 访客 - 是 高 证 录 是 1 于 2017-12-5. 
管理 吕 [可 超 明 版 主 上 可 版 主 会员 


3dmin 


图 2-135 ”进入 帖子 


到 忻 剑 ) 编辑 全 查看 和 他 认 吕 站 书签 血 ) 工具 并 ) 才 助 记 


正在 打开 2. PNG 


您 先 择 了 打开 : 
| 2. PHG 


七 件 类 型 : FNS Imaga [7T.2 是) 
来 源 : http' rrlTe162.2D0 


您 想 要 Firefox 如 何 处 理 此 立 盱 呈 


作 打开 ,通过 和 i 
1 二 司 
主题 ”帖子 | 和 分 
管理 员 
DS 
积分 。 5 
IP 沪 辑 禁止 帖子 清理 


Es jindex.php 
| 
- 5.54 KB, 下载 | 大 凑 : 0 32 Bytes, 下 载 泪 郑 ; 口 


图 2-136 ”下载 PNG 文件 


(7) 单 击 1. txt, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 功 下 载 
TXT 文件 ,如 图 2-137 所 示 。 
(8) 单 击 index. php;, 弹 出 “页 面 载 和 出错 ”的 页 面 ,说 明 PHP 格式 文件 的 下 载 已 被 拦 
截 , 如 图 2-138 所 示 。 
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立 件 灾 1 编辑 伍 ) 查看 们 ”历史 性 ) 书签 人 @ ”工具 习 ) 知 助 和 0 国 |[ajlE3 


txt and Ene ard php - """ 


.PNG 站 ,19 kB, 下 载 砍 类; 0) 
下 站 打 于 1 -tt 


您 选择 了 打开 : 


自 1. tt 
也 忻 准 型 : 永 本 训 档 如 2 字 节 ) 
来 窒 ; httn rilT2 18.2. 200 


您 想 要 Firefox 可 何 椒 理 此 识 件 呈 
口 打开 , 通过 血 ] | 记事 本 识 认 .] 所 


站 1 加 | 
主题 ”帖子 和 积分 


管理 员 
全 埃 | 
积分 加 


IP 编辑 禁止 帖子 清理 


Ee jindew,php 
5.54 KE, 下载 站 泊 ; 0 


立 件 灾 ) 编辑 他 查看 ”扬中 您 ) 书 葡 匣 ] 工具 并 和夫 助 人 
本 | txt ard FrE and php - " 扰 | 业 页 面 载 关 出 错 


< 人 172. 16.2.200/ forun. phpimodtattachmentdai dM STTBLNTTENS HITE HDT EDESM Li 


连接 人 彼 竺 置 


戟 六 页 面 时 与 服务 器 的 壬 接 航 重 置 。 

s 此 熙 后 昔 时 不 可 用 或 者 六 忙 。 请 硝 后 再 试 。 

。 如 时 您 无 法 载 六 任何 页 面 ， 请 检查 您 计算 机 的 网 络 这 接 。 

e 如 果 您 的 计算 机 或 网 销 党 天 防火 墙 吉 者 代理 服 备 器 时 你 护 ， 博 确认 Firefox 已 被 抄 根 研 问 网络 。 


图 2-138 “页 面 载 和 人 出错” 页面 


(9) 在 管理 机 打开 浏览 侣 ,在 地 址 栏 中 输入 防火 墙 产品 的 他 地 址 ”https: //10. 0. 0.1” 
(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 admin 和 密 伍 
admin 登录 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 “日 志 系 统 ”>“ 攻 击 日 志 ”。 在 “攻击 日 志 ” 
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界面 中 ,可 见 阻 断 的 下 载 文件 信息 ,符合 预期 ,如 岁 2-139 所 示 。 


Web 应 用 防火 墙 技 术 及 应 用 实 


雷 主页 面 
i 和 东 媒 配置 

! 网 阁 管 理 
局 ”服务 锅 管 理 
车 基础 对 家 


0 Web 防护 


十 室 主 情报 中 心 


号 “访问 控制 
局 网 页 防 得 改 
中 ， 扫 摘 器 

站 ”DIDos 防 护 


十 ”网站 云 防护 


2017-12-05 19:23:34 
2017-12-05 19:23:33 
2017-12-05 1923:.33 
2017-12-05 13:23:33 
2017-12-05 19:23:33 
2017-12-05 19:23:33 
2017-12-05 19:23:33 
2017-12-05 19:23:33 
2017-12-05 19-23:33 
2017-12-05 19:14:44 
二 站 1 T1205 19:14:44 
2017-12-05 19:14;44 
2017-12-05 19:14;44 
2017-12-05 191d4:44 


T7216.2.100 
Tr2.16.2.100 
172.16.2.100 
172.162.100 
172.16.2.100 
172.16.2.100 
T7216.2.100 
172.16.2.100 
172.16.2.100 
172.16.2.100 
i216.2.100 
Tr72.16.2.100 
T7216.2.100 
172.16.2.100 


验 指导 


172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16,2200 
172.162200 
172.162200 
25 172162abo 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 


orum.php 


orum.php 
Forum.php 
Piorum.php 
forum-php 
rorurm.php 
rforum.php 
rforum.php 
/forum.php 
Torum.php 
iorum.php 
forum.php 
orum.php 


orum.php 


mod=attachrm,.. 
mod=attachim,., 
mod=attachm... 
mod=attachm... 
mod=attachm... | 
mod =attachm,.., 
mad =attachm,.. 
mad =attachm,.., 
mod=attachm,., 
mod=attachim,... 
mad=attachim,.. 总 
mod=attachim,., 
mod=attachm,.. 


mod=attachm.. 


[m5# | | 二 2 | |35* Er 


去 忻 下 载 规则 
芯 忻 下 载 规 则 
玄 忻 下 我 规则 
立 件 下载 规则 
玄 件 下 载 规则 
丈 件 下 载 规则 
芯 忻 下 载 规 则 
率 忻 下 载 现 则 
立 件 下 载 规 则 
误 件 下 载 规则 
区 人 忻 下 载 规 则 
六 件 下 载 规则 
支 忻 下 性 规则 
辫 忻 下 我 规则 


备 雪 日 志 
击 计 卓志 
访问 明志 


下 击 日 志 


当前 1 - 15, 总 共 和 等 记录 


图 2-139 “攻击 日 志 ” 界 面 
【实验 思考 】 
如 果 需 要 拦截 TXT 文件 的 下 载 ， 


应 该 如 何 设置 文件 下 载 规 则 呢 ? 
2110 Web 应 用 防火 墙 敏 感 信息 检测 实验 


【实验 目的 】 
管理 员 通 过 配置 Web 防护 策略 的 敏感 信息 检测 规则 ,可 以 使 Web 应 用 防火 墙 过 滤 
或 修改 网 站 中 的 敏感 信息 ,以 保护 私有 信息 不 被 恶意 利用 。 


【知识 点 】 
敏感 信息 、 防 护 模 板 、 防 护 规则 。 


【 场 台 手 述 】 

近日 ,安全 运 维 工程 师 小 王 发 现 公 司 运 营 的 网 站 存在 敏感 信息 泄露 的 风险 ,小 王 希 望 
利用 Web 应 用 防火 墙 屏 蔽 这 些 敏感 信息 。 请 思考 应 如 何 配 置 Web 应 用 防火 墙 达 到 降低 
敏感 信息 泄露 的 风险 。 


【实验 原理 】 
敏感 信息 是 指 未 经 授权 被 人 接触 或 修改 ,从 而 不 利于 国家 ,企业 或 个 人 依法 享有 的 个 
人 隐私 权 的 所 有 信息 。 
当 客 户 端 向 Web 服务 表 发 起 请 求 的 链接 时 , Web 服务 天 会 癌 客 户 端 返回 啊 应 信息 。 
在 啊 应 头 信 息 中 ,通常 包含 字段 Server 和 X-Powered-By。Server 指 服 务 器 类 型 , 它 包 括 
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服务 旧名 和 版 本 号 ;X-Powered-By 指 程序 支持 , 它 说 明 网 站 是 用 哪 种 语言 或 框架 编写 的 。 
表 2-2 列 出 了 一 个 啊 应 头 消 息 , 目 标 Web 服务 需 为 Microsoft-IIS ,版 本 号 为 7.5, 文 持 的 
程序 为 . net。 渗 透 测 试 人 员 往 往 可 以 通过 查询 对 应 Web 服务 器 的 版 本 信息 的 漏洞 来 和 人 
侵 系统 ,保护 好 这 些 信 息 是 非常 重要 的 。 


表 2-2 响应 头 信息 


字段 名 言 息 
Cache-Control private 
Content-Length 78457 
Content-Type text/html; charset= utf-8 
Date Fri, 25 Apr 2014 06: 19; 18 GMT 
Server Microsoft-IIS/7. 5 
X-AspNet-Version 4.0.30319 
XA-Powered-By ASP. NET 


添加 敏感 信息 检测 规则 ,可 以 设置 例外 URL ,检测 位 置 .敏感 信息 和 处 理 动 作 。 当 客 
户 端 向 Web 服务 天 发 起 请 求 ,服务 天 返回 啊 应 消息 时 ,Web 应 用 防火 墙 引擎 首先 检测 响 
应 数据 包 的 URL; 将 它 与 设 定 的 例外 URL 进行 比较 ,如 果 符 合 则 放 其 通行 ,否则 根据 设 
定 的 检测 位 置 检测 数据 包 中 对 应 位 置 的 数据 ;将 它 和 设 定 的 敏感 信息 进行 比较 ,如 果 不 符 

合 则 放 其 通行 ,否则 根据 设 定 的 处 理 方式 处 理 此 数据 包 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 : Kali 2.0 主机 1 台 ,Windows 2003 Server SP2 主机 1 人 台 , Windows 7 

主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-140 所 示 。 

【实验 思路 】 

(1) 添加 敏感 信息 检测 规则 。 

(2) 添加 Web 防护 模板 ,引用 敏感 信息 检测 规则 。 

(3) 添加 Web 防护 策略 ,引用 Web 防护 模板 。 

(4) Web 防火 墙 删除 啊 应 数据 包 的 X-By-Powered 字段 并 产生 攻击 日 志 

【实验 步 又 了 

(1) 在 管理 机 打开 浏览 顺 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
四 //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 

管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
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一 
PC:172.16.2.200 


和 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-140 ”Web 应 用 防火 墙 敏感 信息 检测 实验 拓扑 


“网 络 管理 ”一 “网 络 接 口 ”, 单 击 “ 网 桥接 口 ”"。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridge12 ,其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 , 在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 ?一 "普通 服务 器 管理 ,在 “HTTP 服务 
髓 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16. 2. 100/24”, “端口 ”为 80 ,设置 “部 署 模式 ”为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 大 ”界面 ,返回 “HTTP 服务 右 ” 列 表 界 面 ,检查 已 添加 的 HTTP 服务 带 信 息 。 

(12) 单 击 面 板 左 侧 导 航 栏 中 的 “Web 防护 ?一 “Web 防护 规则 ”一 “敏感 信息 检测 规 
则 ”, 在 “敏感 信息 检测 规则 ”界面 中 单 击 “ 增 加 十 ”按钮 ,增加 检测 规则 。 

(13) 在 “增加 敏感 信息 检测 规则 ”界面 中 ,输入 “名 称 ” 为 “规则 1”。 如 图 2-141 所 示 。 

(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 增加 规则 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 敏 
感 信 息 检测 规则 ”界面 , 单 击 “ 增 加 十 ”按钮 ,增加 敏感 信息 ,如 图 2-142 所 示 。 
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增加 敏感 信息 检测 规则 


名 称 


图 2-141 设置 规则 名 


增加 敏感 信息 检测 规则 


名 称 ” 规则 1 


En [Ba 


| ,| 启用 日 志 优先 级 ”例外 URL 处理 动 作 检测 位 置 ”敏感 信息 
过 有 窒 紊 汉 狂 撕 


图 2-142 ”增加 敏感 信息 


(15) 在 “增加 敏感 信息 检测 规则 条 目 ”* 界 面 中 ,设置 “敏感 信息 ”为 X-Powered-By， 
“处 理 动 作 ” 为 “删除 ”, 其 他 保存 默认 配置 ,如 图 2-143 所 示 。 
增加 敏感 信息 检测 规则 条 目 
例外 URL 全 二 
响应 头 


X-Powered-By 


图 2-143 设置 敏感 信息 


(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 增加 敏感 信息 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “ 增 
加 敏感 信息 检测 规则 条 目 ” 界 面 ,返回 “增加 敏感 信息 检测 规则 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 
弹出 的 增加 规则 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “敏感 信息 检测 规则 ”界面 ,检查 已 添加 的 检 
测 规则 。 

(17) 单 击 “Web 防护 ”一 ”Web 防护 模板 ”, 在 ”Web 防护 模板 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 。 

(18) 在 “增加 Web 防护 模板 ?界面 中 ,输入 名称” 为 “敏感 信息 检测 ,设置 


国 


0 Web 应 用 防火 墙 技术 及 应 用 实验 指导 ”Eee 


息 检 测 规则 ”为 “规则 1? ,其 他 保持 默认 配置 。 

(19) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “增加 Web 防 
护 模板 ”界面 ,返回 “Web 防护 模板 ”界面 ,检查 已 添加 的 防护 模板 。 

(20) 单 击 “Web 防护 ”一 “Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 单 击 “增加 十 ” 
按钮 ,增加 防护 策略 。 

(21) 在 “增加 Web 防护 策略 ?界面 中 ,输入 "名称 ”为 “敏感 信息 检测 策略 ”, 设 置 
“Web 防护 模板 ”为 “敏感 信息 检测 ”, 设 置 “ 访 问 日 志 ” 为 “开启 ”, 其 他 保持 默认 
配置 。 

(22) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 “配置 成 功 ” 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 
策略 ”界面 ,检查 已 添加 的 防护 策略 。 

【实验 预期 】 

(1) PC 能 正常 访问 Web 服务 器 网 站 页 面 。 

(2) 设置 防护 策略 后 ,Web 应 用 防火 墙 能 删除 啊 应 数据 包 中 X-Powered-By 字段 ,并 
产生 “攻击 日 志 ”。 

【实验 结果 了 

1) PC 能 正常 访问 Web 服务 器 网 站 页 面 

(1) 进 入 实验 平台 对 应 的 实验 拓扑 ,登录 左 侧 的 PC 虚拟 机 ,如 需 登 录 蜜 码 , 输 入 
123456 ,如 图 2-144 所 示 。 


GE2 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-144 打开 实验 虚拟 机 


(2) 在 虚拟 机 打开 终端 ,如 图 2-145 所 示 。 

(3) 在 终端 中 ,输入 命令 firefox 并 按 Enter 键 ,打开 火狐 浏览 项 ,如 图 2-146 
所 示 。 

(4) 在 浏览 器 地 址 栏 中 输入 Web 服务 颖 的 IP 地 址 “172. 16. 2. 100”, 进 入 Web 服务 
髓 网 站 首页 ,如 图 2-147 所 示 。 
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应 用 程序 位置 


roottmkali: 二 


终端 (T】 帮助 (H) 


| _config: assertion 


图 2-146 打开 火狐 浏览 器 
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本 迎 束 到 双 士 人 才 系 巡 | [登录 ] 【免费 注册 | 


只 名 M5 … 


| 招聘 信息 微 招聘 求职 信息 。 “HR 工具 箱 ”新闻 资 讯 。 会 员 中 心 。 进入 论坛 


企业 总 融 : 0 ”有 痢 酥 位 : 0 ”有 有效 篇 丽 : 0 会 员 总 至 :0 


别 这 焊条 职位 马 训 丧 寺 案 有 职 乙 


换 门 关键 字 : 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 i 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ? 马上 登 好 音 看 本 周 热点 职位 


妈 2-147 登录 服务 器 网 站 首页 


2) 设置 防护 策略 后 啊 应 头 的 "X-Powered-By” 字 段 被 删除 


(1) 在 虚拟 机 中 ,为 火狐 浏览 器 设置 代理 。 单 击 浏览 器 最 右 侧 的 下 拉 按 钮 , 单 击 
Preference ,如 图 2-148 所 示 。 


| 


跨国 172.15.2.100 


微 招聘 ”求职 信息 。 “HR 工具 箱 


] 量 近 更 新 职位 写字 全 二 案 了 


热门 美 键 椰 : 销售 代表 销 此 经理 会 计 铀 售 工程 师 销售 助理 ] 通路 搜索 职位。 技 标 答 机 案 双 


最 新 下载 简历 谁 下 载 了 我 的 傅 历 ? 马上 登录 站 看 本 周 热 点 职位 
一 人 申 - 


起 也 要 出 现在 这 性 | | 更 名 早 位 小 急 招聘 


2-148 为 火狐 浏览 咽 设 置 代理 


(2) 在 弹出 的 “Iceweasel Preferences” 界 面 中 , 单 击 上 方 的 Advanced, 再 在 下 方 界 面 


IE 47 es 


单 击 Network, 单 击 Settings 按钮 ,如 图 2-149 所 示 。 


玉 司 医 外 Qs 
ent se sth ee Be snare tose rst ed 
| 
Connection 
Configure how lceweasel connects to the Internet 


Cached Web Content 
Your web content cache is currently using 107 KB of disk space 
口 Qverride automatic cache management 


Limit cache to EE MB of space 
ofline Web Content and User Data 
Your application cache is currently using 0 bytes of disk space 
男 Tell me when a website asks to store data for offline use 
The following websites are allowed to store data for offline use _ 


2-149 设置 代理 


(3) 在 弹出 的 “Connection Settings” 界 面 中 ,选中 “Manual proxy configuration” 单 选 
按钮 。 输 入 “HTTP Proxy” 为 “127.0.0.1”, 与 它 同行 的 Port 为 8080, 如 图 2-150 所 示 。 


127,0.0,1 
图 
过 


localhost, 127.0.0.1 


2-150 设置 代理 IP 和 端口 


mm | mess 
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(4) 单 击 OK 按钮 ,返回 “Iceweasel Preferences” 界 面 , 单 击 Close 按钮 ,返回 浏览 旧 
界面 ,代理 设置 成 功 。 单 击 虚 拟 机 左 侧 的 Burp Suite 图 标 ,如 图 2-151 所 示 。 


骑士 PHF 鼓 端 人 人才 系统 [www.74cms,com) - lceweasel 
) 图 骑士 PHP 高 端 人 才 系 ..，x | 中 
| 才 二 上 72.16.2.100 clr Gooon 信安 自 此 削 


局 Most Visited Wenen sive Security W KaliLinux WKali Docs WkKall Tools Ex poit- CB MW Aircrack-ng 
二 


内 狗 工 NA 


招聘 信息 徽 招聘 求 眼 慎 息 


ee 二 十 CMS 
本 周 热点 杖 位 更 大 畏 士 CMS 


图 2-151 打开 Burp Suite 


(5) 在 弹出 的 “Burp Suite Free Edition” 界 面 中 , 单 击 *I Accept” 按 钮 。 在 “Burp Suite 
Free Edition v1. 6. 01” 界 面 中 , 单 击 Proxy 一 Options ,在 “Proxy Listeners” 界 面 中 ,可 见 默 
认 色 选 的 代理 IP 和 端口 和 训 览 器 中 设置 的 代理 IP 和 端口 一 致 ,如 图 2-152 所 示 。 


Burp suite Free Edition ¥1 .5.01 
Burp lrirucier Repeater Vindow Heap 


i 


的 Prony Listaners 


四 Bump Prowy usas listeners te receive incoming HTTP renue ts freonm your DEEP Youwll neer te configure your bromser te Use ce of the listemers as ts proay enter. 


| Imwlsible | Recirect certificate 


Each Irasiallatlon of Burp generatey hs cwin CA cartificate ih 蕉 Prery llsteners caniee whenmesolating SSL connections. You ran lImport or export th cartificats for Use ln ether tals or 
arnother installation of Burp. 


| Ea certiticate ... | 


INtercept Gllent Redguests 
Usé these settinas to Cotril Which reneds are stalled far wewine ard ettine inithe Intercap tab. 


国 Ireercept requests based Gritlhe follow ng Fules: 


| pa。 | | Erabled | OPeraber | Match wy pe | elati orahip | Conttian 
国 File axte rs ier [aas nat matih 名 i | 
Erit Dr Recpuest Contains param 人 eters 
Dr HTTP methed boes rmt matdh 外线 Po 总 
看 Fi URL Ls intarget scope 


局 Automaticalhy fix micssing or superf lucus ra linas at end of racyuest 


图 2-152 查看 Burp Suite 的 代理 IP 和 端口 
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(6) 单 击 Proxy 一 Intercept, 发 现 “Intercept is on”, 说 明 Burp Suite 开始 拦截 浏览 器 发 送 
的 数据 包 。 返 回 浏览 紫 界 面 , 单 击 刷新 按钮 ,使 Burp Suite 抓 取 到 数据 包 , 如 图 2-153 所 示 。 


[ Le T4ems.com) - Icewessel 已 上 日 
了 国 骑士 PHP 高 端 人 才 系 ,， 
mm 国 172.16.2.100 国 "Eircom dl 安 | 自 易 傅 


可 Most Visited™ Offensive Security WkaliLinux WkKaliDocs WhkKaliTools WExploit-DB WAircrack-ng 


下 迎 来 到 骑士 人 才 尿 赋 | ”| 雪 录 | | 免费 注册 ] 保存 到 桌面 | 


| ER 中 
“| “HR Svatern 


十 对 招聘 信息 。 微 招 聘 ”求职 信息 。“ HR 工具 销 新 闻 资 讯 。 “会员 中 心 。 进入 论坛 
当前 位 转 : 网 站 首 册 


搜索 职位 企业 总 酶 有 效 陪 性 : 0 ”有 六 奖 所 : 


热 | ] 美 键 字 : 销售 代表 销售 经 理 会 计 名 信和 程 师 销售 助 怪 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ? 马上 登录 雷 看 


图 2-153 ”刷新 页 面 
(7) 返回 “Burp Suite Free Edition vl. 6.01” 界 面 ,可 见 捕 提 到 的 数据 包 。 在 显示 数 
据 包 的 方 框 中 右 击 ,选择 “Send to Repeater” 命 令 , 如 图 2-154 所 示 。 


用 Burp Suite Free Editien v1.6.01 
Sap, Jriruaier Pepester Wingew Felp 


GETAHTTPAHT 

Host: 172.16.2.100 as aa 
User-Agent Mozrilla/s.0 (N11; Linux rde Gh; rye31,0 Gecko/20100101 Firefox/31.0 srl LG 0 Spider 

Accept texthtml applcatonihemkmLapplcatonimbo=0.9 ugq=0.8 De an ae 
Accept-Language; en-Us,enq=0.s Send to Jnerurier 
AcceptEncoding: gzip, deflate 
Cookie: PHPSESSIDadsolrpemfinandpis sd?1 Serd Lo semencer 
Connecton: keep-allve Send to Comparer 
Cache-Control: max-age=0 sandte Dacoder 


Rempyest im bromser 
Engagemert tools [Pro versiarn and 
Change 下 忠臣 下 methad 
Change body eneoring 
[eT 

Copy as curl command 
Ce ta file 

Paste fram Tile 

Save em 

Cantt irtercepe reqiestys 
Ce intercep 

Covert selecion 

UD encede as yetype 
CL | 

C opy 

Pasie 


Mrs or help 
Fr ee ep 


a 2-154 发 送 数据 包 到 Repeater 


(8) 单 击 Repeater, 在 界面 中 单 击 Go 按钮 ,发 送 数 据 包 。 在 Repeater 界面 中 有 
Response 部 分 , 当 发 送 数 据 包 后 , 啊 应 的 数据 包 内 容 会 显示 在 这 部 分 。 本 实验 中 防火 增 
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检测 响应 数据 包 的 头 部 ,如 果 里 面包 含 X-Powered-By 字段 ,就 会 删除 此 字段 并 记录 到 
“攻击 日 志 ” 中 。 发 送 数 据 包 后 ,发 现 Response 部 分 没有 X-Powered-By ,还 需 在 后 续 步 又 
中 进一步 验证 ,如 图 2-155 所 示 。 


Burp Suite Free Edition v1.68.01 


Burp Iraruier Repeter Wincsvws Melp 


Ee 


Target: httpdm72.16.2.100 | | 


ed LL [tl 


GET / HTTPA.1 

Host: 172.,16.2,100 

User-Agent Mozrila/S.0 (0X11; Linux nde Gh: ry-31,0 Gecko/20100101 
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Accept:Language: En-Us,en;gq=0.5 

Arcept-Encoding: grip, deflate 

Cooke: PHPSESSID=s| squcstaddca4gtgflmlndo 

Connecion; keep-alrre 

Cache=Contraol: max=agea0 


HTTR. 1 200 OK 

DrivedBy: WAF-ENngine/s.0.0 

Date: Thu, 16 Nov 2017 02:19:26 GMT 
ContentType: texthbtml:charsetspb2312 
Connection: keep-alive 

Vary Accept=-Encoding 

Expires: Thu, 19 Nowv 1981 08:52:00 GMT 
Cache-Contot no=store, no=Cache, must-revalldate, post-check=0, 
precheck=0 

Pragma: no=-cache 

Content-Length: 17580 


ODOCTYPE hml PUBLIC /WICADTD WHTAML I.0 Transioomab /EN™ 
Pip md org/TRAchemll/ DID html! -tansiional did"s 
<huml xmlns="htp. /we. wa3.0rg/ 1999shtml > 

<head> 

<ITheta hop-e0uUNv="ContentType” conbenta texvhtoml charseegb23l2" 
请 <titles 收 让 PHP 高 半 人 人 才 标 赎 [WwWww.74cms.comj)a/Hdes 

<meta name="descripton” content="> 

meta names'" keywords" contents™» 

meta hip-=equv=" MUACompatible" contentelE=7"> 

<link rele"shorteut icon” hrefs"/favicon, Co” /> 

<meta name="author" contents" 笠 士 CMS” /> 

meta names copyrght" contents Acms.com" 六 

<link hraf=" /temnbiesid alaultiraa/rAmmin. ces" rele"chlnaheat” 


[zj [<| L* | [> THe § seBch tevm 


四 


和 | 3 | Te Bh erm 


matches 


Be mallis 


17.911 b 


图 2-155 ”发 送 数据 包 


(9) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 卫 地 址 “https: //10. 
0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导航 栏 中 的 “日 志 
系统 >“ 攻击 日 志 ”。 在 “攻击 日 志 ” 界 面 中 ,可 见 产 生 的 日 志 信 息 , 如 图 2-156 所 示 。 


别 admin 四 退出 


[sr | [We | [sux [eo 


导入 居中 看 夫 则 
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访问 日 志 

了 到 击 日 志 

DIDos 日 志 

网 页 防 香 改 日 志 
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当前 工 - 15 , 总 共 1173 条 记录 
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了 
和 


act=countinfe 
Bft=Eormpary ii， 
sct=top_loginfe. 


sct=iop_lcginfc-. 


ct=icp_lcginfc-， 


2-156 ”产生 日 志 信 息 


各 或 筷 避 过 污 规 刚 
| 
Et a 
使 过 过 忆 过 香 规 刚 
航 七 侍 时 1 十 志 规则 
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仁 束 全 尼 过 小 规则 
敬重 已 避 | 二 弄 规 则 
恕 本 全 息 过 款 规 虽 
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(10) 单 击 面板 左 侧 导航 栏 中 的 “Web 防护 ”一 “Web 防护 策略 ”, 在 “Web 防护 策略 ” 
界面 中 双击 “敏感 信息 检测 策略 ”, 如 图 2-157 所 示 。 


十 aljrmin Ce 


十 Wieb 防 护 条 陪 [tat | me 


中 | 客 称 货 先 最 是 酉 自动 生成 
理 


Web 防 护 征 覆 
出 乓 防护 司 语 
寺 eb 防 护 规 则 
让 对 习 第 卫 
中 ”安全 情 抠 中 心 
徊 ”访问 控制 
邮 网 页 防 复 改 
局 扫描 露 
下 DDos 防 护 
二 ”网 站 云 防护 
号/ 日 志 系 统 
学 析 对 统 


mI 系统 座 晰 


2-157 打开 防护 策略 


(11) 在 “编辑 Web 防护 策略 ”界面 中 ,取消 勾 选 “启用 ” 复 选 框 ,如 图 2-158 所 示 。 


敏感 信息 检测 第 略 
测试 服务 器 
-请 输入 或 选择 -- 


Web 防 护 模板 


访问 日 志 


优先 级 "六 


局 用 


图 2-158 不 启用 防护 策略 


(12) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 Web 
防护 策略 "。 进 入 实验 平台 对 应 的 实验 拓扑 ,登录 左 侧 的 虚拟 机 ,如 需 登录 密码 ,输入 
123456 ,如 图 2-159 所 示 。 

(13) 单 击 “Burp Suite Free Edition v1. 6. 01” 一 Repeater, 单 击 Go 按钮 ,发 现 啊 应 数 
据 包 存在 X-Powered-By 字段 ,说 明敏 感 信息 检测 策略 配置 生效 ,如 图 2-160 所 示 。 
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GE2 


Web 服 务 器 : 172.16.2.100 


PC:172.10.2.200 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


2-159 ”打开 实验 虚拟 机 


Burp Suite Free Edition v1.6.01 
Burp Imtmuder Repeater Wingew Help 


G9 | Cimeel | ln | | Ie Tapet httpsm72.162.100 | |? 
| 5 -| [全 -| 四 | 


lL 


GET/ HTTP/T. rm 
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Rasponse 


We Heasers | Hex [ Hr | Reneer | 


HTT PA. 1 200 Ok 
CrivedBy: WAF-ENgInerG.0.0 


User-Agent Mozilla/s.0 (011; Linux xBe bd rr31.0 Gecko/2010010 
Hrefon/al.0 eeweasel3l.a.0 

Accept: text/htmlapplcation/shtmlrmlapplrcation/smlqs0 .gq=0.B 
Accept-Lang uage: en-US,.en;g=0.5 

Arcept-Encoding: gzip, deflate 

Cookie: PHPSESSID=s/7scqucsa0dcagqtall mindo 

Connecton; keep-alive 

Cache-Contrak max-age=0 


Date: Thu, 16 Nov 2017 :2$12 GMT 
Caontent:Type: text/htmbeharseegb2dl2 
Connectionm: eho 

=E nyc 


Pp 出 
Cache-Comtot no-store, pp must-revalidate, post-check=0, 
pre-checkd 
Pragma: no-cache 
| ContentLength: 17580 


DOCTYEE hrml PUBLIC "AWICADTD XHTAM 1,0 Transiional//EMN" 
hte wy, wa, orprT Rxhemlt OT Or xhtmlt -tansiional, dd ”> 
<html xmlnss http /Na wd,0rgr lo xhtml > 

严重 本 而 让 

<meta htp-equws "Content-Type” content=" bext/htbml; charset=gb2312" 
f=<ztitles 对 士 PHP 南 请 人 才 系 缠 [wWww.74Cms.com)<nites 

meta names" description" contents™> 

<meta names keywords” content=""> 

<meta http-equnv= -UACompatible” content="IE=/"> 

<|k rele"shoreut Keon” hrefs"/ frean. leo” /s 

meta names author" contents" 士 CMS" /> 

mpia Namp="rnnuriohr rnntant=" ?Arme rnm" /> 


| 六 用 骂 | 二 || 3 | Tee § SEBch Fen 
17.547 bytes 


于 


bmatches 


S80 idllis 


2-160 ”产生 X-Powered-By 字段 
【实验 思考 】 
(1) 怎样 设置 可 以 删除 网 站 啊 应 信息 的 Server 字段 ? 
(2) 怎样 设置 可 以 隐藏 网 站 啊 应 信息 的 Server 字段 的 信息 ? 


33  DDpos 防护 


221 Web 应 用 防火 墙 DDoS 防护 实验 


pg My 


管理 员 掌握 DDoS 防护 的 基础 配置 DDoS 防护 模板 配置 .DDoS 防护 策略 


外 站 。 
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【知识 点 了 
DDos 防护 模板 .DDoS 防护 策略 。 
【场景 摘 述 ]】 


近日 ,安全 运 维 工程 师 小 王 在 对 同事 小 黄 进 行 Web 应 用 防火 墙 设备 技术 培训 时 讲 到 
防火 墙 的 DDoS 防护 功能 。 防 火 墙 的 DDoS 防护 系统 包含 全 面 的 DDoS 防护 规则 和 
DDoS 防护 模板 。DDoS 攻击 是 一 种 危害 性 特别 严重 的 大 规模 人 侵 方式 。 请 思考 防火 墙 
的 DDoS 防护 规则 的 种 类 及 DDoS 防护 策略 的 基础 配置 方法 。 


【实验 原理 】 

DDoS 防护 功能 是 通过 策略 的 方式 实现 的 。Web 应 用 防火 墙 面向 被 防护 的 对 象 制定 
统一 的 策略 ,策略 引用 DDoS 防护 模板 ,DDoS 防护 模板 包含 各 类 防护 规则 。 

DDoS 防护 策略 ,模板 和 规则 的 关系 图 见 图 2-161。 

配置 DDoS 防护 策略 时 直接 引用 服务 器 对 象 、IP 对 象 .DDoS 防护 模板 、 主 动 防御 模 
板 即 可 生效 。 

DDos 防护 的 配置 流程 如 图 2-162 所 示 。 


配 轩 服务 此 


DDoS 防 护 策 上 略 
“是 否 配置 防护 规则 


DDoS 防 护 模 板 


FT 


冲 


配置 防护 规则 
配置 DDoS 防护 模板 
配置 DDoS 防 护 策 略 


图 2-161 DDoS 防护 策略 .模板 ,规则 关系 图 图 2-162 ” DDoS 防护 配置 流程 


合 
J / 
' A 


在 Web 应 用 防火 墙 中 ,DDoS 防护 规则 有 四 种 : IP 防护 规则 、TCP 防护 规则 、UDP 
防护 规则 和 HTTP 防护 规则 。 通 过 配置 这 些 防护 规则 ,可 以 全 面 抵 御 各 种 DDoS 攻击 
方式 。 

【实验 设备 】 

。 安全 设备 ; Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows 7 主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-163 所 示 。 
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GE1:10.0.0.1 


-了 


管理 机 ，10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-163 Web 应 用 防火 墙 DDoS 防护 实验 拓扑 


【实验 思路 】 

(1) 添加 DDoS 防护 模板 并 引用 防护 规则 。 

(2) 选择 防护 类 型 。 

(3) 添加 DDoS 防护 策略 并 引用 防护 模版 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin , 单 击 “登录 ?按钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”一 “网 络 接 口 ”, 单 击 “ 网 桥接 口 "”。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ”* 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel12 ,其 他 保持 默认 配置 。 

(7) 单 击 "保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 确定” 按钮。 同样, 在 “Port 接 
口 界面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 bridge12 ,其 
他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 髓 管理 ”一 ”普通 服务 器 管理 "~ 十 HTTP 服务 
器 ”, 单 击 右 侧 “ 增 加 十 ”, 添 加 一 个 HTTP 服务 器 。 

(10) 在 增加 HTTP 服务 器 页 面 中 ,“ 服 务 器 名 称 ” 输 入 “测试 服务 器 ”,“IP 地 址 ”输入 
“172. 16. 2. 200/16”, “端口 ”输入 80, 将 “接口 ”设置 为 bridge12, 其 他 保持 默认 配置 , 单 击 
“保存 ?按钮 ,在 弹出 的 操作 成 功 页 面 中 单 击 “确定 ?按钮 。 

(11) 增加 防护 规则 ,本 实验 增加 简单 攻击 防护 规则 。 单 击 面板 左 侧 导 航 栏 中 的 
“DDos 防护 ”>“DDoS 防护 规则 ”, 选 择 “TCP 防护 规则 ”。 在 “端口 扫描 防护 ”界面 中 , 单 
击 “ 添 加 十 "按钮 ,添加 站 口 扫描 防护 规则 ,如 图 2-164 所 示 。 

(12) 在 “增加 端口 扫描 防护 规则 ”界面 中 ,在 “名 称 ” 中 输入 “端口 扫描 防护 规则 示 
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三 drmin 


Eee 十 油 口 扫描 防护 ”十 SYN Flood 攻 击 防护 ” 寺 Conn Flood 攻 击 防护 “二 ACK Flood 攻 击 防 护 ”中 序号 攻击 防护 、 国 辽 必 是 记 新 


二 pp 
0 名 称 ACK 扫 描 检 测 。 SYN|ACK 扫 ..。 | RST 扫 摘 检 测 |， FN 扫 摘 检 测 ”Connect 扫 ,， 总 的 扫 摘 速 率 单个 ip 扫描 .处 理 动作 
号 网络 管 理 fau 号 司 局 用 局 用 局 用 局 用 300 30 带 过 


上 且 服务 器 管理 
车 基础 对 条 

用 Web 防护 
十 安全 情报 中 心 
员 ”访问 控制 
加 ”网 页 防臭 改 


口 、 本 精 器 


DDos 有 防护 第 罚 

DDos 防 护 模 板 

CDos 防 护 规则 
下 防护 规则 
TCP 防 护 规 则 
UDP 防护 规则 


HTTCDREIOMNM 


图 2-164 增加 端口 扫描 防护 规则 


例 ”, 其 他 保持 默认 配置 ,如 图 2-165 所 示 。 


名 称 * 端口 扫描 防护 规则 示例 

ACK 扫 描 愉 测 

SYNIACK 扫 措 检 测 

RST 扫 描 检 测 

FIN 扫 摘 检测 

Connect 扫 摘 检测 

总 的 扫描 速率 (5~100000) 次 种 
单个 Ip 扫 摘 速 可 (5~30) 次 /种 

处 理 动作 

严重 级 别 


| | 邮件 [|_| 短信 
局 


到 2-165 “增加 端口 扫描 防护 规则 ”界面 


(13) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “端口 扫描 防 
护 ” 界 面 。 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 模板 ”。 在 DDoS 防护 
模板 ”界面 中 单 击 “ 增 加 十 ”按钮 ,增加 防护 模板 ,如 图 2-166 所 示 。 

(14) 在 “增加 DDoS 防护 模板 ”界面 中 ,在 名称” 中 输入 “端口 扫描 防护 模板 示例 ”， 
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十 admin ”人 是 慢 出 


十 DDo5 防 护 模板 [ES | | ss {} 


回 ”服务 器 管理 
沪 芋 ia 条 DD 8 

L Net Default 
Web 防 护 [| HTTP Defeukt 
十 安全 情报 中 心 
局” 访问 皖 制 
罗网 奋 防 算 改 
扫描 如 
各“DDas 了 上 防护 


CDos 缠 护 第 临 
DDos 防 护 棋 板 
DDos 了 上 防护 规则 


十” 网 站 云 防护 
局 日 志 系 统 
向 。 分 析 季 绕 


可 系统 诊断 


2-166 ”增加 防护 模板 


将 “类 型 ”设置 为 “HTTP 防护 ”, 单 击 “TCP 防护 规则 ?标签 页 “端口 扫描 防护 规则 ?设置 
为 “端口 扫描 防护 规则 示例 ”, 如 图 2-167 所 示 。 


增加 DDoS 防护 模板 
名 称 * 庄 口 扫 措 防护 模板 示例 


天 型 HTTP 防 护 
硕 注 


Ip 防 护 规 则 TCP 防 护 规则 HTTP 防 护 规则 
朗 口 扫描 防护 规则 庄 口 扫 桥 防护 规则 示例 
SYN Flood 攻 击 防护 规则 
Conn Flood 攻 击 防 护 规 则 
ACK Flood 攻 击 防护 规则 
序号 攻击 防护 规则 


慢 攻 击 防护 规则 


图 2-167 “增加 DDoS 防护 模板 ”界面 


(15) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “DDoS 防护 
模板 ”界面 。 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 策略 ”, 在 “DDoS 防护 
策略 ”界面 中 单 击 “增加 十 ”按钮 ,增加 防护 策略 ,如 图 2-168 所 示 。 
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冬 三 夺 对 条 DD sm 
”web 芒 护 

十 安全 导 所 中心 

徊 ”访问 控制 

思 网 页 防 复 改 

O， 扫 措 器 

字 ”DDoS 防护 


CDeas 防 护 策 略 
CDeos 防 护 杰 板 
DDoS 防护 规则 
十” 网 站 去 防护 
惫 ”日 志 系 复 
四 分 怕 系 统 


人 系统 诊断 


2-168 增加 防护 策略 


(16) 在 “增加 DDoS 防护 策略 ?界面 中 ,输入 "名称 ”为 "器 口 扫 描 防 护 策 略 ”，DDos 
防护 模板 ”设置 为 “端口 扫描 防护 模板 示例 ”, 其 他 保持 默认 配置 ,如 图 2-169 所 示 。 


端口 扫描 防护 策略 


测 | 苇 服务 匡 


图 2-169 “增加 DDoS 防护 策略 ”界面 


(17) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “DDoS 防护 
策略 ”界面 ,配置 完毕 。 


查看 配置 成 功 的 DDoS 防护 规则 模板、 策略 。 


【实验 结果 】 
(1) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
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人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 在 面板 
界面 中 , 单 击 左 侧 导 航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 规则 ”, 选 择 %“TCP 防护 规则 ”， 
在 “端口 扫描 防护 ”界面 中 发 现 添加 的 “端口 扫描 防护 规则 示例 ”, 双 击 它 会 发 现 配 置 的 信 
息 生 效 , 如 图 2-170 所 示 。 


告 辑 鲍 口 扫描 防护 规则 


安 称 * 病 口 反 本 防护 讽 则 未 出 


CK 扫描 裕 测 

SYN|ACK 扫 撕 检 测 

RST 拍 描 和 位 训 | 

FIMN 扫 措 过 测 

Connecti 沪 检测 

局 的 所 握 运 亚 可 让 站 站 让] 下 
EE {5m320) 交 / 控 
处 理 动 作 

严 吾 闻 列 php 

言 警 说 至 |] 邮 性 [| 短信 

日 志 


2-170 ”查看 DDoS 防护 规则 


(2) 单 击 * 取 消 ? 按 钮 ,返回 "端口 扫描 防护 ?界面 。 单 击 面板 左 侧 导航 栏 中 的 “DDoS 
防护 ”一 “DDoS 防护 模板 ”, 在 “十 DDos 防护 模板 ”界面 中 发 现 添 加 的 “端口 扫描 防护 模板 
示例 ”, 双 击 并 打开 ,发 现 配 置 的 信息 生效 ,如 图 2-171 所 示 。 

(3) 单 击 “ 取 消 ” 按 钮 ,返回 “DDoS 防护 模板 ?界面 。 单 击 面板 左 侧 导 航 栏 中 的 "DDoS 
防护 ”一 “DDoS 防护 策略 ”, 在 “十 DDos 防护 策略 ”界面 中 发 现 添加 的 “端口 扫描 防护 策 
上 略 ”, 双击 它 会 发 现 配 置 的 信息 生效 , 单 击 “取消 ”按钮 ,符合 预期 要 求 , 如 图 2-172 所 示 。 


【实验 思考 了 
怎样 添加 HTTP 防护 规则 .模板 和 策略 ? 
222 Web 应 用 防火 墙 全 防护 实验 


【实验 目的 】 
管理 员 可 以 通过 配置 Web 应 用 防火 墙 IP 防护 规则 抵御 Land 攻击 、Smurf 攻击 和 
WinNuke 攻击 等 简单 攻击 以 及 ICMP Flood 攻击 。 


【知识 点 】 
IP 防护 规则 、 防 护 策略 、 防 护 模 板 。 
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IP 隔 护 现 刚 TCD 卫 芍 规则 HTTE 隔 护 规 则 


简单 攻 主 防护 规则 


图 2-171 查看 DDoS 防护 模板 


从 -10000) 


2-172 查看 DDoS 防护 策略 


【场景 拍 述 】 

A 公司 的 安全 运 维 工 程 师 小 王 接 到 反馈 ,公司 的 某 个 对 外 提供 服务 的 网 站 无 法 正常 
打开 ,通过 抓 包 分 析 发 现 到 该 服务 器 的 链 路 上 有 大 量 的 ICMP 数据 包 , 因 此 怀疑 遭受 了 
ICMP Flood 攻击 。 为 了 不 影响 公司 的 正常 业务 ,小 王 需要 通过 配置 Web 应 用 防火 墙 来 
防护 这 种 DDoS 攻击 ,请 思考 应 如 何 实现 。 
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【实验 原理 】 

ICMP(Internet Control Message Protocol, Internet ,控制 报 文 协 议 ) 是 TCP/IP 协议 
族 的 一 个 子 协议 ,用 于 在 IP 主机、 路 由 占 之 间 传 递 控 制 消息 。 控 制 消 息 是 指 网 络 通 不 通 、 
主机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 。 这 些 控制 消息 虽然 并 不 传输 用 户 数据 ， 
但 是 对 于 用 户 数据 的 传递 起 着 重要 的 作用 。 

ICMP FLood 是 一 种 DDos 攻击 ,通过 对 其 目标 发 送 超过 65 535 字 节 的 数据 包 ,就 可 
以 令 目 标 主 机 瘫痪 ,如 果 大 量 发 送 就 成 了 洪水 攻击 。 管 理 员 在 “DDoS 防护 ”一 “DDoS 防 
护 规则 ?中 添加 IP 防护 规则 ,在 “DDoS 防护 ”一 “DDoS 防护 模板 ”中 添加 防护 模板 并 引用 
IP 防护 规则 ,在 "DDoS 防护 >“DDoS 防护 案 上 略 ” 中 引用 已 添加 好 的 IP 防护 模板 使 得 了 
防护 规则 生效 ,Web 应 用 防火 墙 将 根据 IP 防护 规则 抵御 ICMP Flood 攻击 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 , Windows XP SP3 主机 1 台 ， 

Windows 7 主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-173 所 示 。 


PC:172.16.2.200 Web 服 务 器 : 172.16.2.100 
管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 
图 2-173 Web 应 用 防火 墙 IP 防护 实验 拓扑 
【实验 思路 】 


(1) 添加 IP 防护 规则 。 

(2) 添加 IP 防护 模板 ,引用 IP 防护 规则 。 

(3) 添加 IP 防护 策略 ,引用 IP 防护 模板 。 

【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 右 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin; 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 ， 

(2) 登录 Web 应 用 防火 墙 设 备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
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“网 络 管理 ”一 一 网络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2 ,其 他 保持 默认 配置 。 

(7) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 2 按钮。 同样 ,在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ” 为 “bridgel2”， 
其 他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2、GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”一 “ 普 通 服务 胡 管 理 ”, 单 击 上 方 的 “其 他 
服务 器 ”。 在 “其 他 服务 器 ”界面 中 单 击 “ 增 加 十 ”按钮 ,增加 服务 髓 。 

(10) 在 “增加 其 他 服务 器 ”界面 中 ,输入 “服务 嚣 名称” 为 “Web 服务 器 ?”,“IP 地 址 ”为 
“172. 16. 2. 100/32”, 设 置 “ 部 署 模式 ”为 “串联 ”,“ 防 护 模式 ”为 “ 流 模式 ”, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “其 他 服务 
髓 ”列表 界面 ,检查 已 添加 的 其 他 服务 器 信息 。 

(12) 单 击 面板 左 侧 导 航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 规则 ”, 选 择 “IP 防护 规 
则 ”。 单 击 *ICMP Flood 攻击 防护 ”, 在 “ICMP Flood 攻击 防护 ”界面 中 单 击 “ 增 加 十 ” 按 
钮 ,如 图 2-174 所 示 。 


agdmin 中 中 出 


十 简单 攻击 防护 “二 [CMP Flood 攻 击 防护 区 


.名称 全 小 ping Ping 包 最 大 长 度 单个 IP ICMP 报 文 速率 单个 IP ICMP 字 节 这 : 
_| | Default 蓉 用 - 1 1 


」 Web 咏 护 

- 安全 情报 中 心 
9 访问 控制 

中 网 页 防 算 改 


扫描 器 


DDos 咏 护 第 略 
DDos$ 肪 护 述 板 


DDos 防 护 规 册 


TI Me | le 具 开 


图 2-174 增加 ICMP 防护 规则 
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(13) 在 “增加 ICMP Flood 攻击 防护 规则 ”界面 中 ,输入 “名 称 ” 为 "ICMP 防护 规则 ”， 
将 “处 理 动作 ”设置 为 “丢弃 ”, 其 他 保持 默认 配置 ,如 图 2-175 所 示 。 


增加 CMP Fleed 攻 击 防护 规则 
名 称 * ICMIP 防 护 规则 
禁止 Ping 国 


ping 包 最 大 长 度 (500-2000) 字 节 


wv 
单个 IP ICMP 报 立 速 率 加 (1_-100pps 
加 


单个 IP ICMP 字 节 速 率 (1-100}KBPS 
处 理 动 必 
产 重 奴 别 中 级 


告警 设置 L_ | 邮件 | _ |] 短信 
日 志 加 


图 2-175 “增加 ICMP Flood 攻击 防护 规则 ”界面 


(14) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “ICMP 
Flood 攻击 防护 ”界面 ,可 见 增加 的 防护 规则 ,如 图 2-176 所 示 。 


矶 admin [中 退出 


+ 简单 攻击 防护 ”二 ICMP Flood 攻 击 防 护 | :sin+ | | aa 


,名称 苹 由 ping ping 包 最 大 长度 单个 IP ICMP 报 立 速 率 单个 IP TCMP 字 节 和 这; 
| Befault 挂 用 1 1 
| MP 防护 趣 则 禁用 1000 50 so 


DDos 防 护 


CDos 防 护 第 略 
DDos 防 护 模 柏 
DDos 防 护 规 则 


ii ee Fr 1 


2-176 ”成功 增加 防护 规则 


(15) 单 击 "DDos 防护 ”>“DDoS 防护 模板 ”, 在 “DDoS 防护 模板 "界面 中 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 ,如 图 2-177 所 未 。 

(16) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “ICMP 防护 模板 ”, 将 “类 型 ” 设 
置 为 “网 络 层 防护 ”“ICMP Flood 攻击 防护 规则 ?设置 为 "ICMP 防护 规则 ”, 其 他 保持 默 
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于 网 辣 蕊 理 


生 DDos 防 护 模 标 


同 ” 原 务 器 管理 名 称 


ee = Jet Default 
HTTP Detault 

昌 Web 防护 

十 ”安全 情报 中 心 

如 ”访问 控制 

加 ”网 页 防 得 疏 


CI， 扫 措 器 


DDas 防 殷 荣 散 
DDaos 防 护 模 柏 
让 Das 防 殷 邯 则 


网 站 云 防 护 
上 日 志 系 统 
” 胡 怕 竺 烧 


DJ 系统 庄 断 


2-177 增加 防护 模板 
认 配 置 , 如 图 2-178 所 示 。 


增加 DDoSs 防 护 模板 
名 栋 ” ICMP 防 护 模板 
光世 网 络 层 防护 
备注 


IPAICMP 了 的 护 规则 TECP 防 护 规 则 UDP 防护 规则 


简单 区 击 防护 规则 2 


ICMP Flood 攻 击 防 护 规 则 ICMP 防 护 规 风 


图 2-178 “增加 DDoS 防护 模板 ”界面 


(17) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
模板 ”界面 ,可 见 增加 的 防护 模板 ,如 图 2-179 所 示 。 
(18) 单 击 “DDoS 防护 ”>“ DDoS 防护 策略 ”, 在 ”DDoS 防护 策略 ”界面 中 单 击 “增加 
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态 admin 人 信 退 出 


十 DDos 防 护 楼 板 [n+ | [aio 


6 系统 配置 |] | 名称 


_| Net Default 
_ | HTTP Defauht 
服务 器 香 理 | ICMP 防 护 标 板 


己 ”网络 官 理 


Web 防 护 


安全 情报 中 心 


访问 控制 


DDoS 防护 


DDos 防 护 第 略 
Dos 防护 模板 
DDos 防 护 规 则 


2-179 ”成 功 增 加 防护 模板 


十 ”按钮 ,增加 防护 策略 ,如 图 2-180 所 示 。 


立 主页 面 二 DDaos 防 护 第 绰 


全 系统 配置 DDas 防 沪 极 板 


Hi 

人 ” 服 孝 器 管理 
由 “Web 防护 
十 安全 情报 由 心 
唱 访 问 控制 


友 网 而 防 复 改 


性， 扫描 器 


DIDos 防 护 第 用 
DDoS 防护 模板 
DDaos 防 护 规 则 


十 ”网 站 云 防护 
局 日 志 系 统 
南 。 分 析 系 蚁 


系统 读 断 


2-180 ”增加 防护 策略 


(19) 在 “增加 DDoS 防护 策略 ?界面 中 ,输入 “名 称 ” 为 "ICMP 防护 策略 ”, 将 “服务 器 ” 
设置 为 “Web 服务 器 ?>，“DDos 防护 模板 ”设置 为 “~ICMP 防护 模板 ”, 其 他 保持 默认 配置 ， 
如 图 2-181 所 示 。 
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增加 DDoS 防 护 策略 


名 称 * ICMP 防 护 策 路 


Web 服 务 器 
S 
ICMP 防 护 模 板 
(0~10000) 


Vv 


图 2-181 “增加 DDoS 防护 策略 ”界面 


(20) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
策略 ”界面 中 ,可 见 增加 的 防护 策略 ,配置 完毕 ,如 图 2-182 所 示 。 


态 admin 畴 诅 出 
区 系统 配置 
马 网络 管理 
回 ”服务 器 管理 
车 基础 对 象 
则 Web 防护 


十 安全 情报 中 心 


虽 ”访问 控制 


@ 网 页 防 算 改 
口 ” 扫 措 嚣 
学 DmDaos 防 护 


DDos 防 护 第 略 
已 Dos 防 护 模 板 
CDos 防 护 规 则 


2-182 成功 增加 防护 策略 


【实验 预期 】 
添加 IP 防护 策略 后 ,防火 墙 阻 断 ICMP Flood 攻击 ,可 见 IP 防护 日 志 。 
【实验 结果 】 


(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 2-183 所 示 。 
(2) 在 虚拟 机 双击 桌面 的 IPAnalyse. exe, 在 软件 界面 中 , 单 击 三 角形 按钮 ,开始 抓 
包 , 如 图 2-184 所 示 。 
161 


Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指导 FEED 


PC:172.16.2.200 


Web 服 务 磊 : 172.16.2.100 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


2-183 登录 左 侧 虚 拟 机 


忆 网 踏 岗 抓 包工 具 -iptool 
六 件 (E) ”操作 (E) 帮助 人 H) 


pl AGBNO. 
序号 


[EH 7 二进制 澡 据 J 立 本 激 据 
| 


到 2-184 “网 路 疯 抓 包工 具 ” 界 面 


(3) 单 击 “开始 ”一 “命令 提示 符 ”, 在 “命令 提示 符 ” 界 面 中 输入 命令 “ping 172. 16. 2. 
100” 后 按 Enter 键 ,如 此 反复 10 次 ,如 图 2-185 所 示 。 

(4) 在 数据 抓 包 软 件 ( 如 网 路 岗 抓 包工 具 ) 界 面 中 可 见 抓 到 的 数据 包 , 单 击 “ 文 件 ” 一 
“保存 为 ”, 在 弹出 的 “另存 为 "界面 中 ,“ 保 存在 ”选择 “桌面 ", “文件 名 ”输入 packagel, 其 
他 保持 默认 配置 ,如 图 2-186 所 示 。 

(5) 单 击 “ 保 存 ” 按 钮 ,在 桌面 可 见 保存 成 功 的 数据 包 , 如 图 2-187 所 示 。 

(6) 返回 “网 路 岗 抓 包工 具 ? 界 面 , 单 击 " 文 件 ” 一 “IP 包 回 放 ”, 在 弹出 的 “打开 ”界面 中 
单 击 packagel. tcap ,如 图 2-188 所 示 。 
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5 命令 提示 符 


Microsoft Windows MP [hg 本 5.1.2680] 
Cy 由 公有 1985-20861 Microsoft Corp. 


LDocuments and settings™ dnin1istratorplng lrc.16.£ 10 
Pinging 172.16.2.108 with 32 bytes of data: 


Reply from 17?72.16.2.180: hbytes=32 time=1lms TTL=128 
Renly from 172.16.2.180: hyutes=32 time<ilmns TIL=128 
Reply fromn li2.16.2.100: bytes=ide time<《lmns llL=12ad 
Reply fronmn 172.16.2.180: bytes=32 time‘lns ITL=128 


目 卫 而 可 stat1st1cs 二 而 二 1i2.16 .2 .189: 

Packhets: sent a4, Hecelved 4 Lost 0 tH lossy, 
Nppnroximnate Found trip timnes in milli-seconds: 

Minimunm = Wmns, Maximun = lms, fvuerage = Bnms 


ls ™" Documents and Settings™ Aidninistratorping lire.16.2.100 
下 了 和 可 In 可 le.1b 2.10H with 3 bytes of data: 

Reply from i172.16.2.180: bytes=32 time=ilmns TITL=128 

Reply trFom lz.1b.2.10H: Dytes=32 timelmns llL=128 


Reply from 17?2.16.2.100: bytes=32 time=lns llL=128 
Reply from 17?72.16.2.180: bytes=32 time=1lms ITL=129 


图 2-185 “命令 提示 符 ” 界 面 


男生 为 
保存 在 位 ): | [时 桌面 


局 我 的 次 档 

时 我 的 电脑 
合 网 上 邻居 
-DTIpTool 抓 包工 具 
本 实 笠 工具 


女 件 名 十) : packagel 
保存 类 型 并 ): tp 【 环 . 未 丰 才 ] 


图 2-186 保存 数据 包 


网 路 岗 抓 区 工具 -iptool 
立 件 (FE) 操作 人 E) ” 才 助 (H) 


Fa x| 如 
动 


晶 
“加 
(~ 


类 型 
PEE-—Requ.. 
PARP-=-Repl... 
ICMEF 
ILWF 
LF 
ICNF 
ICWF 
ICMP 
ICMP 
ICWF 
ICWF 
TLMF 
ICMWP 


m3 ma [| 


10U 


100 
200 
100 
200 
100 
2 
100 


mm ms hy 


hg 


了 


Fr rm rm 上 四 [a rm Tm rn rm (| rr [Mn 


| 


mm mm rm 


Fy Fh 


本 


d+[-| 7 二 进 和 数据 7 文本 数据 


包 总 其 ;90 肉 存 占用 :8,04K Bytes 


图 2-187 ”成功 保存 数据 包 
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(7) 单 击 “ 打 开 ” 按 钮 ,在 弹出 的 “ 包 回 放 -packagel. tcap” 界 面 中 , 单 击 “开始 ”按钮 , 反 
复 10 次 。 此 工具 还 处 于 抓 包 状 态 ,“ 包 回放 ”操作 发 送 的 数据 包 都 会 被 抓 取 到 ,如 图 2-189 
所 示 。 


包 BM - packagel ,tcap 


打开 2 x 


查找 范围 并): [EE -| = 庆 PF 国 - 


司 息 
| 总 长 :BB14 Bytes 
包 和 总数: 名 

文件 长 度 :8.07K Bytes 


选项 
一 一 柄 拟 原 况 时 间 间 隐 指定 时 间 间 阳 1 =: 
并 件 名 凶 ): |packa ka age el, te cap 打开 必 ) 
辫 伞 类 型 T): teap file teap) 7| r 了 | 回 疼 割 网 长 : #1 Wetwork Adapter [172. 16.2.200] 
图 2-188 打开 数据 包 图 2-189 “ 包 回 放 -packagel. tcap” 界 面 


(8) 关闭 “ 包 回 放 -packagel. tcap”, 返 回 " 网 路 岗 抓 包工 具 ” 界 面 , 此 时 工具 已 经 抓 取 
了 一 个 巨 量 数据 包 。 单 击 * 文 件 ”>“ 保 存 为 ", 在 弹出 的 “另存 为 "界面 中 ,文件 名 ”输入 
package2 ,其 他 保持 默认 配置 ,如 图 2-190 所 示 。 


加 packagel. teap 


六 件 各 0， |packaee2 
梨 存 关 型 全 ): | tcap file (x. teap) 


图 2-190 “ 男 存 为 "界面 


(9) 单 击 “保存 ?按钮 , 即 在 桌面 生成 了 一 个 巨 量 的 数据 包 文件 ,将 它 作 为 ICMP 
Flood 攻击 的 回放 数据 包 , 如 图 2-191 所 示 。 

(10) 返回 “网 路 岗 抓 包工 具 ” 界 面 , 单 击 “ 文 件 ” 一 “IP 包 回 放 ”, 在 弹出 的 “打开 ”界面 
中 , 单 击 package2. tcap, 如 图 2-192 所 示 。 

(11) 单 击 “打开 ?按钮 ,在 弹出 的 “ 包 回 放 -package2. tcap” 界 面 中 , 单 击 “开始 ”按钮 ， 
成 功 发 送 巨 量 数据 包 , 如 图 2-193 所 示 。 

(12) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
pe //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 

管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
aoe Ate 日 志 系 统 ” 一 “DDoS 日 志 ”。 在 “DDoS 日 志 ” 界 面 中 可 见 IP 策略 处 理 
的 数据 包 , 如 图 2-194 所 示 。 
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六 件 (E) ”操作 (E) 帮助 (由 


2 i 

Pa 人 CRDO. 

I 兢 型 

ARF-Regu. .. 

ARF-Repl... 

ICMF . 1B. 2. :3 00... - 1B. 2. 100 

ICMF .16, 2, :4:00.,.,., .16, 2, 200 

ICMP T 1T72. 16. 2. :5 00... - 1B. 2. 100 

ICMEF .18,2.100 :54:00... . 16,2, 200 

ICMF | . 1B. 之 . :500... -1B. .100 

ICMF . 16, 2, :4:00,.,., .16, 2, 200 

ICMF | .1B. 2. :00... -1B. 2. 100 

ICME 2. 18, 过， ‘54:00... . 16. 2, 200 

ICMF | - 16. 之 . :5:00... - 1B.2. 100 

ICMF : :16,2, 234:00,.,., .16, 2, 200 
-1B. 2. 100 


sm Fm mm Fm Fm rm 


| 
> 1 
小 于 
> 3 
2 是 
> 5 
2 所 
> 了 
| 
”“ 


rm 了 mm rm rm 了 


V 二 进 制 洱 据 v 立 本 数据 


包 和 总 数 ;:1437 内 存 占 用 :0,13M Bytes 


2-191 “package2. tcap” 数 据 包 


打开 5 
ss:[G | + 向 全 加 


Ep ackaeee. tearp 


回 packagel, teap 


XH ET 
次 件 类 型 [) ， | 捕 包 文件 x. tcap) "| [万 一 


2-192 “打开 ?界面 


| | 


104164 Bytes 
1414 
128. 已 1 及 Bytes 


模 拍 原始 时 间 间 了 ” 指定 时 间 间 隅 


回放 天 网 不 : |#1 Wetwork Adapter [172.16.2.200] 


2-193 “ 包 回 放 -package2. tcap” 界 面 
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旦 admin ”[ 鸣 误 出 


十 DDos 日 志 [se | | |ssx | 


起 人 国志 15 下 


日 天 和 


当前 1 - 1 ,总共 1 去 记 录 


琅 恰 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDas 目 志 

阿 现 防 复 改 日 志 


图 2-194 “DDoS 日 志 ” 界 面 


(13) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详细 信息 ;:“ 攻 击 类 型 ”为 
“ICMP Flood”,“ 协 议 类 型 ”为 TCMP”, 符 合 预 期 要 求 ,如 图 2-195 所 示 。 


拦截 时 间 :2017-12-06 09:54:14 


攻击 者 攻击 目标 
172.16.2.200:512 172.16.2.100:2048 


DDoS 防 护 策 略 ICMP 防 护 策略 
DDos 防 护 规 则 ICMP Flood 攻 击 防护 -ICMP 防 护 策 略 
处 运动 作 去 和 痉 广 宣 级 别 | 中 级 
ICMP 攻击 类 型 ICMP Flood 
其 他 
其 他 
其 他 
对 方 和 你 在 同一 内 部 网 


py EY 


2-195 “ 细 证 ”界面 


【实验 思考 了】 
如 何 设置 才能 禁止 ICMP 类 型 数据 包 的 发 送 ? 
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223 Web 应 用 防火 墙 TP 防护 实验 


【实验 目的 】 
管理 员 通 过 配置 Web 应 用 防火 墙 的 TCP 防护 规则 来 保护 服务 器 的 TCP 端口 。 


【知识 点 】 
Web 防护 .TCP 防护 规则 。 


【场景 手 述 】 

近日 ,A 公司 客服 接 到 用 户 投 诉 , 无 法 访问 公司 提供 的 Web 服务 ,经 排查 发 现 只 有 上 
传 的 用 户 数据 ,提供 服务 的 服务 器 没有 回应 的 数据 包 , 运 维 工 程 师 小 王 对 提供 服务 的 服务 
器 检查 后 发 现 , 服 务 器 的 TCP 端口 遭受 了 SYN Flood 攻击 。 针 对 这 种 情况 ,请 思考 应 该 
如 何 进行 防护 。 

【实验 原理 】 

SYN Flood 是 一 种 广为人知 的 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方式 之 一 ,这 是 一 种 
利用 TCP 缺陷 ,发 送 大 量 伪造 的 TCP 连接 请 求 , 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负 
荷 或 内 存 不 足 ) 的 攻击 方式 。 管 理 员 在 “DDoS 防护 ”一 “DDoS 防护 规则 ”>“TCP 防护 规 
则 ”中 添加 并 配置 TCP 防护 规则 及 DDoS 防护 模板 ,之 后 在 “DDoS 防护 ”一 “DDos 防护 
策略 ”中 引用 已 经 配置 好 的 模板 使 得 TCP 防护 规则 生效 ,根据 TCP 防护 规则 抵御 SYN 
Flood 攻击 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 , Windows XP SP3 主机 1 台 ， 

Windows 7 主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 2-196 所 示 。 


PC:172.16.2.200 Web 服 务 器 : 172.16.2.100 


管理 机 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-196 ”Web 应 用 防火 墙 TCP 防护 实验 拓扑 
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【实验 思路 】 

(1) 添加 TCP 防护 规则 。 

(2) 添加 TCP 防护 模板 ,引用 TCP 防护 规则 。 

(3) 添加 TCP 防护 策略 ,引用 TCP 防护 模板 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导 航 栏 中 的 
“网 络 管理 ”>“ 网 络 接 口 ”, 单 击 “ 网 桥接 口 "。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 

(3) 在 “增加 网 桥接 口 ”界面 中 ， 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保存 默认 配置 。 

(4) 单 击 “下 一 步 ? 按 钮 ,在 弹出 的 增加 网 桥 成 功 界 面 中 单 击 “确定 ?按钮 ,再 单 击 “ 完 
成 ?按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ”为 bridge12 ,其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 , 在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管 理 ”, 单 击 “ 增 加 十 ” 按 
钮 ,增加 服务 吴 。 

(10) 在 “增加 HTTP 服务 费 ” 界 面 中 ,输入 “服务 带 名 称 ” 为 “测试 服务 右 ”,“IP 地 址 ” 
为 "172. 16.2.100/24”, “端口 ”为 80 ,设置 “部 芽 模式 ”为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 启 用 ”的 复 选 框 ，。 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “HTTP 服务 
能 ”列表 界面 ,检查 已 添加 的 HTTP 服务 器 信息 。 

(12) 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 规则 ”一 “TCP 防护 规 
则 ”。 在 “十 端口 扫描 防护 ”界面 中 ,双击 Default 规则 。 在 “编辑 端口 扫描 防护 规则 ”界面 
中 ,输入 “名 称 ” 为 Default, 勾 选 *“ACK 扫描 检测 ”SYN|ACK 扫描 检测 ”RST 扫描 检测 ” 
“FIN 扫描 检测 ?和 “Connect 扫描 检测 ” 复 选 框 ,设置 “总 的 扫描 速率 ”为 300,“ 单 个 ip 扫 
描 速 率 ” 为 30,“ 处 理 动 作 ” 为 “丢弃 ”,“ 严 重 级 别 ” 为 “中 级 ”, 勾 选 “ 日 志 ” 复 选 框 ,如 
图 2-197 所 示 。 

(13) 单 击 "保存 ?按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 "端口 扫描 防 
护 ” 界 面 , 单 击 上 方 的 “ACK Flood 攻击 防护 ”, 如 图 2-198 所 示 。 
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编辑 端口 扫 摘 防护 规则 
名 称 “* 
ACK 扫 拼 检 测 
SYNIACK 扫 措 检 测 
RST 扫 描 检 测 | 
FIN 扫 撕 检 = 测 
Connact 扫 描 检 测 
总 的 扫描 速率 
单个 ip 扫 措 速率 
处 理 动 作 
严重 级 别 


告警 设 重 
日 志 


证 端口 要 模 防 护 


_ | ;名称 页 避 KR 扫 拱 档 测 。。 SYN|ACK 扫 ..， RST 扫 描 档 测 FI 扫描 档 测 


| Default 局 用 


DDos 防 护 竺 酷 

DiDos 防 护 模板 

DDoS 防护 规则 
IP 防 护 规 则 
TEP 防 护 规 则 | 
UDP 防护 规则 
HTTR 防 护 规 刚 


十 ”网 站 云 防护 


忆 用 


Web 应 用 防火 墙 安 全 防护 应 用 ”IE 


(5~100000n 守 A 直 


(~30 迪 /各 


是 admin |[ 黑 退出 


+ 序号 攻击 防护 ”二 悍 攻 击 | 二 mn+ | mo 


connect 扫 描 ,.。 总 的 扫 捅 迹 率 。 单 人 ip 扫 搓 十 率 ”处 理 动作 
局 用 300 30 还 过 


图 2-198 打开 ACK Flood 攻击 防护 界面 


(14) 在 “十 ACK Flood 攻击 防护 ”界面 中 ,双击 Default 规则 。 在 “编辑 ACK Flood 
攻击 防护 规则 ”界面 中 ,设置 “处 理 动作 ”为 “丢弃 ”,“ 严 重 级 别 ” 为 “中 级 ”, 勾 选 “ 日 志 ” 复 选 


慌 ,其 他 保持 默认 配置 ,如 图 2-199 所 示 。 


(15) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “ACK Flood 
攻击 防护 ”界面 。 单 击 面 板 左 侧 导 航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 模块 >。 在 “DDoS 
防护 模块 ”界面 中 ,双击 “HTTP Default” 模 块 , 单 击 “TCP 防护 规则 ”, 发 现 已 经 添加 了 端 
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编辑 ACK Flood 攻 击 防 护 规则 


名 称 * Default 


总 的 无 效 ACK 速 率 wi 10000 (5-10000)%/ 秒 


单个 链接 错误 ACK 速 率 “| 200 (1~500)PPS 
处 理 动作 三 
严重 级 别 


告警 设置 邮件 门 短信 
日 志 v 


Eales 


图 2-199 编辑 ACK Flood 攻击 防护 规则 


口 扫 描 防 护 规则 Default 和 ACK Flood 攻击 防护 规则 Default, 如 图 2-200 所 示 。 


编辑 DDoS 防护 模板 
名 称 ” HTTP Default 
备注 


IP 护 护 规 则 TCP 防 护 规则 HTTP 防 护 规则 


庙 口 扫描 防护 规则 Default 


SYN Flood 攻 击 防 护 规 则 Default 


Conn Flood 攻 韦 防 护 规则 Default 


ACKk Flood 长 击 防护 规则 Default 


序号 攻击 防护 规则 Default 


慢 攻 去 防护 规则 Default 


图 2-200 ”编辑 DDoS 防护 模块 


(16) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,关闭 “编辑 DDoS 
防护 模块 ”界面 。 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 策略 ”。 在 “十 
DDoS 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,添加 DDoS 防护 策略 ,如 图 2-201 所 示 。 

(17) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “TCP 防护 策略 ”, 设 置 “ 服 务 
器 ”为 “测试 服务 器 ”,“ 源 IP” 为 “ 空 ”, “DDoS 防护 模块 ”为 “HTTP Default”, “优先 级 ”为 
0, 勾 选 “ 启 用 ” 复 选 框 ,如 图 2-202 所 示 。 

(18) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “增加 DDoS 
防护 策略 ”, 配置 完 成 。 
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DDes 防 护 第 覆 
DDeos 防 护 粮 板 
CCos 防 护 规 则 
网 站 去 防护 
| 日 志 竺 综 
= 俘 析 系统 


中 系统 鹰 新 


2-201 添加 DDoS 防护 策略 


TCP 防 护 策 略 


服务 栈 测试 服务 器 


源 IP 


DDos 防 护 模 板 HTTP Default 


优先 级 * 从 (0~10000) 


【实验 预期 】 
添加 TCP 防护 策略 后 ,防火 墙 阻 断 TCP 攻击 ,可 见 TCP 防护 日 志 。 
【实验 结果 】 


(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 。 如 图 2-203 所 示 。 

(2) 在 虚拟 机 双击 昌 面 的 LOIC. exe, 在 软件 界面 中 ,输入 IP 为 “172. 16. 2. 100”, 单 
击 IP 右 侧 的 Lock on,Method 选择 TCP, 输 入 Threads 为 10000, 取 消 色 选 右 侧 的 "Wait 
for reply” 复 选 框 ,其 他 保存 默认 配置 ,如 图 2-204 所 示 。 

(3) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 TCP 攻击 ,如 图 2-205 
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一 


PC:172.16.2.200 Web 服 务 太 :172.16.2.100 


管理 机 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-203 登录 左 侧 虚 拟 机 


| When harpoonss air strikes amd nukes fails | vw. 1.0.8.0 


1 Select your target 


URL | Loek on 


ip 172.16,2.100 


| Lock on 


17216.2100 


The ewrrent]y Se] ected Larget | nl 


HTTP Subsite TEP /UDP messade 


catis tne too. Desudesudeasu 


tPF 图 10000 iait for rephy 


Thraads 


图 2-204 LOIC 界面 


所 示 。 

(4) 在 管理 机 打开 浏览 融 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin , 单 击 “登录 ”按钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “日 志 系 统 ”“DDos 日 志 ”。 在 "DDoS 日志” 界面 中 ,可 见 TCP 策略 
处 理 的 数据 包 记 录 , 如 图 2-206 所 示 。 

(5) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 
“TCP 端口 扫描 ”,“DDoS 防护 策略 ”为 “TCP 防护 策略 ”, 符 合 预期 要 求 , 如 图 2-207 
所 示 。 
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When harpoons, air strikes and nukes fails | ws. 1.0.8.0 


1. Select your target 
UR Lock on 


Pp 172.16.2.100 Lock on 


王 Seected troet 


3. Lttack options 
Timeaout HTIP subsite 


DD1 | 


TRY UDP messayge 


总 catis tine tao. DesudesudesL= 


10UUU 国 Vait for reply 国 


Thresds 


<= fa3ter 


Connecting Redquesting Downloading Dowmnloacded Recuested 


图 2-205 ”开始 TCP 攻击 
态 admin 加 退出 
[se |] | sdxm 


和 主见 面 十 DDos 日 志 


5 荣 绕 配置 此 页 显示 15 


网 络 管 理 

上 服务 器 管理 
基础 对 象 
Web 防 护 
安全 情报 中 心 
访问 控制 


网 页 防 复 改 


， 扫 摘 咒 


已 Dos 防 护 


网 站 云 防 护 


备份 日 志 
惠 计 日 志 
访问 日 志 


【实验 思考 】 


(1) 
(2) 


日 期 和 时 间 


| 2017-12-13 11:13... 
| 2017-12-13 11:13.. 
] 2017-12-13 11:12.. 
| 2017-12-13 11:12... 
| |2017-12-13 11:11... 
| 2017-12-13 11;10,. 
| 2017-12-13 11.09,,. 
| 2017-12-13 11:09.. 
| 2017-12-13 11:08.. 
| 2017-12-13 11:08... 


] 2017-12-13 11:07.. 


| 2017-12-13 11:07... 


| 2017-12-13 11:06... 
| 2017-12-13 11:05... 
| 2017-12-13 11:05... 


EOS 


SoCs 
eCOS 
SPEC 
二 
SEES 
Se 
SoC 
eCOS 
CS 
TEES 
SEC 
SECOS 
Se 


当前 1 - 15 , 总 共 21 条 记录 


EG 
马 
马 
EE 


172.16.2,.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.1b.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 


图 2-206 


172.16.2.100 
172.16.2.100 
7216.2.100 
172.16.2.100 
172.16.2.100 
172.16.2.100 
172.16.2.100 
172.16.2.100 
li72.16.2.100 
172.16.2.100 
172.16.2.100 
172.16.2.100 
172,16.2.100 
172.16.2.100 
172.16.2.100 


“DDoS 日 志 ” 界 面 


TcP 庙 口 扫 关 
TCRPi 口 扫 箱 
TCR 请 口 扫 硒 
T 耻 汕 口 扫 障 
TCP 挛 口 殷 摘 
TCP 话 口 扫 拘 
TCPi 呈 | 殷 癣 
TCP 端 口 扫 三 
TCRP 消 器 扫 笨 
TCRP 肖 口 扫 障 
T 呈 省 口 扫 蔽 
TCP 诺 口 扫 撞 
TCP 庙 口 扫 和 阅 
TCP 贡 口 扫 痪 
TCRi 口 扫 厢 


BE 阻 断 PC 发 起 的 TCP 类 型 的 DDoS 攻击 ? 
阻 断 TCP 类 型 的 慢 速 DDoS 攻击 ? 
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细 记 


Rn 
志 话 细 信 息 


拦截 时 间 :2017-12-13 11:13:52 


攻击 者 攻击 目标 
172.16.2.200:3872 172.16.2.100:80 


DDos 防 护 策 畴 TCP 防 护 策 酷 

DDo5 防 护 规 则 端口 扫 撕 防护 -Default 

处 理 动作 

协议 类 型 TCP 峭 口 扫 描 
国家 

省 份 

城市 

区 域 对 方 和 您 在 同一 内 部 网 


图 2-207 “ 细 广 ”和 宅 面 


224 Web 应 用 防火 场 UDP 防护 实验 


【实验 目的 】 

管理 员 可 以 通过 配置 Web 应 用 防火 墙 的 UDP 防护 规则 抵御 UDP Flood 攻击 ，。 
【知识 点 】 

UDP 防护 规则 、DDoS 防护 。 

【场景 朱 述 】 


近日 ,客户 反映 A 公司 的 网 站 打 不 开 。 安 全 运 维 工程 师 小 王 通过 抓 包 软件 抓 取 访 问 
网 站 的 数据 包 ,发 现 里 面 存在 大 量 的 UDP 数据 包 , 因 此 判断 网 站 遭受 了 UDP Flood 攻 
击 。 为 了 不 影响 公司 的 业务 , 张 经 理 要 求 小 王 利 用 Web 应 用 防火 墙 设备 来 抵御 这 种 
DDos 攻击 。 请 思考 小 王 应 如 何 设置 UDP 防护 策略 才能 满足 张 经 理 的 要 求 。 

【实验 原理 】 

UDP Flood 是 日 渐 独 狐 的 流量 型 DoS( 拒 绝 服务 ) 攻 击 。 篆 见 的 UDP Flood 攻击 是 
利用 大 量 UDP 小 包 冲 击 DNS 服务 器 或 RADIUS 认证 服务 器 、 流 媒体 视频 服务 器 。 
100kbps( 比 特 率 ) 的 UDP Flood 经 常 攻击 网 络 上 的 骨干 设备 (例如 防火 墙 ) ,造成 整个 网 
段 的 次 痪 。 由 于 UDP 是 一 种 无 连接 的 服务 ,在 UDP Flood 攻击 中 ,攻击 者 可 发 送 大 量 伪 
造 源 IP 地 址 的 小 UDP 包 。 但 是 ,由 于 UDP 是 无 连接 性 的 ,所 以 只 要 开 了 一 个 UDP 的 
端口 提供 相关 服务 ,就 可 针对 相关 的 服务 进行 攻击 。 

正常 应 用 情况 下 ,UDP 包 双 回流 量 会 基本 相等 ,而 且 大 小 和 内 容 都 是 随机 的 ,变化 很 
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大 。 出 现 UDP Flood 的 情况 下 ,针对 同一 目标 IP 的 UDP 包 在 一 侧 大 量 出 现 , 并 且 内 容 
和 大 小 都 比较 固定 。 

管理 员 在 “DDoS 防护 ”>“DDoS 防护 规则 ?一 ”UDP 防护 规则 ”中 添加 并 配置 UDP 
防护 规则 ,在 “DDoS 防护 一 DDoS 防护 模板 ”中 添加 防护 模板 并 引用 UDP 防护 规则 ,在 
“DDoS 防护 ”一 “DDoS 防护 策略 ?中 引用 已 添加 好 的 UDP 防护 模板 使 得 UDP 防护 规则 
生效 ,Web 应 用 防火 墙 将 根据 UDP 防护 规则 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 , Windows XP SP3 主机 1 人 台 ， 

Windows 7 主机 1 台 。 
【实验 拓扑 】 
实验 拓扑 如 图 2-208 所 示 。 


GE2 
、 
ES Ww 


PC:172.16.2.200 Web 服 务 a8 :172.16.2.100 
管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 
图 2-208 Web 应 用 防火 墙 UDP 防御 实验 拓扑 
【实验 思路 】 


(1) 添加 UDP 防护 规则 。 

(2) 添加 UDP 防护 模板 ,引用 UDP 防护 规则 。 

(3) 添加 UDP 防护 策略 ,引用 UDP 防护 模板 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“网 络 管理 ”>“ 网 络 接口 ”, 单 击 “ 网 桥接 口 *?。 在 “网 桥接 口 ” 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
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复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ?按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?>。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel12, 其 他 保持 默认 配置 。 

(7) 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ”按钮 。 同 样 , 在 "Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 界面 中 ,设置 “网 桥接 口 ? 为 bridgel12 ,其 
他 保持 默认 配置 。 

(8) 单 击 "保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 按钮。 返回 “Port 接口 ” 
界面 中 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 "一 “普通 服务 器 管理 , 单 击 上 方 的 "其 他 
服务 器 ?”。 在 “其 他 服务 器 ”界面 中 , 单 击 "增加 十 ?按钮 ,增加 服务 器 。 

(10) 在 “增加 其 他 服务 器 ”界面 中 ,输入 “服务 嚣 名称” 为 “Web 服务 器 ?”,“IP 地 址 ?为 
“172. 16. 2. 100/24”, 设置 “部 署 模 式 ” 为 “串联 ”, “防护 模式 ”为 “ 流 模式 ”,“ 接 口 ” 为 
bridgel2, 勾 选 “ 启 用 ” 复 选 框 ， 

(11) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “其 他 服务 
需 ?” 列 表 界 面 ,检查 已 添加 的 HTTP 服务 顺 信 息 。 

(12) 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDos 防护 规则 ”, 选 择 *UDP 防护 
规则 ”。 在 “UDP Flood 攻击 防护 ”界面 中 , 单 击 “增加 十 ”按钮 ,如 图 2-209 所 示 。 


硅 UDP Flood 攻 击 防 护 ” 丰 DN$ Flood 攻击 防护 


名 称 单个 态 无 藏 师 报 训 违禁 单个 IP 撒 京 速 率 单个 Ip 字 节 迄 军 
10 = = 


Default 


DDos 防 护 策略 

DDos 防 护 述 板 

DDoS 防护 规则 
JP 防护 规则 
TCP 防 护 规 则 
凯 DP 防 护 规则 
HTTP 防 护 规 则 


十 网 站 去 防护 


忆 日 志 插 旷 


图 2-209 增加 UDP 防护 规则 
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(13) 在 “增加 UDP Flood 攻击 防护 规则 ”界面 中 , 输 和 人 “名称 ”为 "UDP 防护 规则 ”， 
“处 理 动 作 ” 设 置 为 “丢弃 ”, 其 他 保持 默认 配置 ,如 图 2-210 所 示 。 


增加 UDP Flood 攻 击 防 护 规则 


名 称 “ UDP 防护 规则 


茜 止 UDP 


单个 P 无 载荷 报 文 速率 vw) ， (1~100)PPS 
单个 P 报 文 速率 | (1~10000)PPS 
单个 P 字 节 速 率 | (1~10000)KBPS 
处 理 动 作 


严重 级 别 


图 2-210 “增加 UDP Flood 攻击 防护 规则 ”界面 


(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “UDP Flood 
攻击 防护 ”界面 ,可 见 增 加 的 防护 规则 ,如 图 2-211 所 示 。 


疹 ” 主 页 面 

六 有 至 旷 配 置 
局 网络 管 理 

加 ”服务 路 管理 
车 ”基础 对 家 

则 ”Web 防护 
十 ”安全 情报 中 心 
目 ”访问 控制 


疗 ”网 页 防备 改 


口 ” 扫 岳 器 


DDaos 防 护 簿 略 

DDos 防 护 樟 板 

DDos 防 护 规 则 | 
JP 防护 规则 
TEp 防 护 规 则 
UDP 防护 规则 
HTTP 防 护 规 则 


十 ”网 站 三 防护 


局 日 志 系 统 


adimin 人 斩 齐 出 
+ UDP Flood 了 区 寺 防护 ”中 DNS Flood 攻 击 咏 护 | am+ | me 


名 称 单个 下 无 亚 商 报 京 原 调 单个 臣 皂 京 衣 襄 单个 放 字 节 表 军 外 硬 动 作 
Cefault 了 - - 通过 


UDP 防护 规则 5 100 100 Ea 


图 2-211 成 功 增加 UDP 防护 规则 


(15) 单 击 “DDoS 防护 ”>“DDoS 防护 模板 ”, 在 “DDoS 防护 模板 ”界面 中 , 单 击 “增加 
十 ”按钮 ,增加 防护 模板 ,如 图 2-212 所 示 。 
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品 admin 但 如 出 


站 DDos 防 护 醒 板 | ae 


_ | 各 称 
| Net Default 


HTTP Default 


DDOos 防 护 第 上 略 
CDos 防 护 冯 模 
DDos 防 护 规则 


”网 站 云 防护 


2-212 增加 防护 模板 


(16) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “UDP 防护 模板 ”,“ 类 型 ”设置 
为 “网 络 层 防护 ”, 单 击 *“UDP 防护 规则 ”,“UDP 攻击 防护 规则 ?设置 为 "UDP 防护 规则 ”， 
其 他 保持 默认 配置 ,如 图 2-213 所 示 。 
增加 DDeos 防 护 模板 
名 称 * UDP 防 护 模 板 


关于 网 络 层 防护 
备注 


IPAICMP 防 护 规 则 TCP 防 护 规则 UDP 防护 规则 
UDP 攻击 防护 规则 UDP 防护 规则 


DNS 攻击 防护 规则 二 


图 2-213 “增加 DDoS 防护 模板 ”界面 
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(17) 单 击 “保存 ?按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ?按钮 ,返回 “DDos 防护 
模板 ”界面 ,可 见 增加 的 防护 模板 ,如 图 2-214 所 示 。 


请， 主页 面 

二 3 入 统 配 畦 
尽 “网络 管理 
回 ”服务 器 管理 
氏 基础 对 如 

而 ”好 eb 防 护 
十 志 主 情 很 中 心 
虽 访问 控制 
轩 ”网 页 防 复 改 


DDos 防 护 第 栈 
CDaos 防 控 模 板 
DDos 防 护 规 则 


十 网 站 去 防护 
忆 日 志 系 统 
fy 分 忻 系统 


四 


十 DDos 肪 护 模 柱 | sio+ | erie 


_ 名称 湛 型 
| Net Default 网 疝 层 防护 
HTTP Cefault HTTP 防 护 


UDP 防 护 杜 柜 网 和 车 后 防护 | 


2-214 成 功 增 加 防护 模板 


(18) 单 击 “DDoS 防护 ”>“DDoS 防护 策略 ”, 在 “DDos 防护 策略 ”界面 中 单 击 “增加 十 ” 
按钮 ,增加 防护 策略 ,如 图 2-215 所 示 。 


调 ” 主 页面 

人 圣人 皖 配置 
局 ”网络 管 理 
局 服务 器 管理 
惫 至 础 对 铠 

局 Web 防护 
十 安全 情 扫 中心 
下 访问 控制 
他” 网 页 防 息 改 


已 ， 扫 将 里 


DDos 防 护 策 格 
CDos 防 护 醒 酸 
DDos5 上 防护 规则 


十 网 站 云 防护 


龟 日 志 秒 统 


自分 析 系 统 


J 系 饮 谤 攻 


而 admin 三 误 出 
+ DDas 防 护 第 略 [Eu |e 
| | 吕 称 CDas 防 沪 杠 板 站 先 客 
设 有 检票 弛 本 Y 训 


2-215 增加 防护 策略 
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(19) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “UDP 防护 策略 ”, “服务器 ” 设 
置 为 *Web 服务 器 ”,“DDos 防护 模板 ”设置 为 “UDP 防护 模板 ”, 其 他 保持 默认 配置 ,如 图 
2-216 所 示 。 

增加 DDoS 防护 策 酷 


名 称 * UDP 防护 策略 


服务 器 Web 服 务 秦 


源 IP 
DDos 防 护 模 板 


优先 级 * 各 (0~10000) 


图 2-216 “增加 DDoS 防护 策略 ”界面 


(20) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
策略 ”界面 中 ,可 见 增加 的 防护 策略 ,配置 完毕 ,如 图 2-217 所 示 。 


坊 admin 后 如 出 
二 DDoS 防 护 策 略 [n+ | [Ro 
人 对 统 恒 各 称 服 卷 袁 Des 防 护 模 概 优先 饼 
己 ”网 绍 权 至 “| UDP 防 护 策 敬 Web 胰 号 器 UDP 防护 垣 柏 : 0 
目 。 服 务 器 区 理 
车 基础 对 将 
加 ”Web 护 护 
十 安全 情报 中 心 
虽 访问 控制 
辣 ”网 页 防臭 改 
口 扫 酒 绰 
他 DDos 防 护 


DDes 防 沪 先 略 
DDeos 了 防护 硬 板 
DDes 防 护 规 则 


证 ”网 站 云 防护 
”上 日志 系 纺 
” 芝 析 和 对比 


1 系统 论断 


2-217 成 功 增 加 防护 策略 


添加 UDP 防护 策略 后 ， 防火 墙 阻 断 UDP Flood 攻击 ,可见 UDP 防护 日 志 。 


【实验 结果 】 
(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 2-218 所 示 。 
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Web 服 务 器 . 172.16.2.100 
PC:172.16.2.200 服务 硕 


管理 机 ，10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-218 登录 左 侧 虚拟 机 


(2) 在 虚拟 机 双击 桌面 的 “LOIC. exe”, 在 软件 界面 中 ,输入 了 P 为 "172. 16. 2. 100”， 
单 击 IP 布 侧 的 “Lock on”,“Method” 设 置 为 “UDP”, 输 入 Threads 为 1000 ,其 他 保持 默认 
配置 。 

(3) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 UDP 攻击 。 

(4) 在 管理 机 打开 浏览 带 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “日 志 系 统一“DDosS 日 志 ”。 在 “DDos 日 志 ” 界 面 中 ,可 见 UDP 策略 
处 理 的 数据 包 记 录 ,如 图 2-219 所 示 。 

是 admin 


+ DDoS 日 志 EECIECTIEEC 


三 | 系统 配置 二 页 S 示 |]5 * 


局 网 格 管理 | 粮 攻 击 IP 


合 ”服务 蚌 释 理 

灿 五 而 时 急 当前 1 - 1 ,总 共 工 这 记录 
由” Web 防护 

十 ”安全 情报 中 心 

四 ”访问 扶 制 

他 网 而 防 得 改 

台 ， 折 笠 曲 

六 DDo5 防 护 


十 网 站 云 防护 


曾 协 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 
网 而 防 香 帮 日 志 


贞 。 分 煌 系 护 


0 系统 读 断 


2-219 “DDoS 日志 "者 面 
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(5) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 “UDP 
Flood”,“DDoS 防护 策略 ”为 “UDP 防护 策略 ”, 符 合 预 期 要 求 , 如 图 2-220 所 示 。 
细节 
日 志 详细 信息 


拦截 时 间 :2017-11-30 21:57:04 


攻击 者 z 攻击 目标 
172.16.2.200:1157 172.16.2.100:80 


DDosS 防 护 策略 UDP 防护 策略 

DDoS 防护 规则 UDP Flood 攻 击 防护 -UDP 防护 规则 

处 理 动作 EEa 严重 乌 别 中 级 

协议 类 于 UDP 攻击 类 型 UDP Flood 
国家 其 他 

省 份 其 他 

城市 其 他 

区 域 对 方 和 您 在 同一 内 部 网 


Py ET 


图 2-220 “细节 ”界面 


【实验 思考 了】 
如 何 设 置 可 以 禁止 UDP 数据 包 的 发 送 ? 


225 Web 应 用 防火 者 HTP 防护 实验 


【实验 目的 】 
管理 员 可 以 通过 配置 Web 应 用 防火 墙 的 HTTP 防护 规则 抵御 HTTP Flood 攻击 和 
CC 下 击 。 


【知识 点 】 
HTTP 防护 规则 、DDoS 防护 。 


【 场 票 朱 述 】 

近日 ,客户 反映 A 公司 的 网 站 经 常 存在 啊 应 超时 的 问题 ,安全 运 维 工程 师 小 王 通 过 
监控 软件 分 析 数 据 流 量 ,发 现 有 大 量 的 HTTP 请 求 数据 包 , 而 且 还 不 断 产 生 新 的 HTTP 
请 求 , 因 此 判断 网 站 遭受 了 DDoS 攻击 。 小 王 想 通过 Web 应 用 防火 墙 的 设置 来 对 这 种 类 
型 的 DDoS 攻击 进行 防护 ,请 思考 应 如 何 操作 。 


【实验 原理 】 
攻击 者 通过 代理 或 僵尸 主机 向 目标 服务 器 发 起 大 量 的 HTTP 报 文 ,请 求 涉 及 数据 库 
操作 的 URI(Universal Resource Identifier) 或 其 他 消耗 系统 资源 的 URI, 造 成 服务 器 次 
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源 耗 尽 ,无 法 响应 正常 请 求 。 管 理 员 在 “DDoS 防护 ”一 “DDoS 防护 规则 ”中 添加 HTTP 
防护 规则 ,在 “DDoS 防护 ”>“DDoS 防护 模板 ”中 添加 防护 模板 并 引用 HTTP 防护 规则 ， 
在 “DDoS 防护 ”一 “DDoS 防护 策略 ”中 引用 已 添加 好 的 HTTP 防护 模板 ,使 得 HTTP 防 
护 规则 生效 ,Web 应 用 防火 墙 将 根据 HTTP 防护 规则 抵御 HTTP Flood 攻击 。 

【实验 设备 】 

。 安全 设备 ; Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 , Windows XP SP3 主机 1 台 ， 

Windows 7 主机 1 合 。 
【实验 拓扑 】 
实验 拓扑 如 图 2-221 所 示 。 


GE2 


PC:172.16.2.200 Web 服 务 三 :172.16.2.100 
管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 
图 2-221 Web 应 用 防火 墙 HTTP 防护 实验 拓扑 
【实验 思路 】 


(1) 添加 HTTP 防护 规则 。 

(2) 添加 HTTP 防护 模板 ,引用 HTTP 防护 规则 。 

(3) 添加 HTTP 防护 策略 ,引用 HTTP 防护 模板 。 

【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“网 络 管理 ”>“ 网 络 接口 ”, 单 击 “ 网 桥接 口 ”"”。 在 “网 桥接 口 ” 界 面 中 , 单 击 “ 增 加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
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成 ”按钮 ,成 功 添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridge12 ,其 他 保持 默认 配置 。 

(7) 单 击 "保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 确定” 按钮。 同样, 在 “Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ?为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 "保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 确定” 按钮。 返回 "Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面 板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 单 击 上 方 的 
“HTTP 服务 器 ”。 在 “HTTP 服务 器 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 “172. 16.2.100/24”, 输 入 “端口 ”为 80 ,设置 "部署 模式 ”为 “串联 ?防护 模式 ”为 “代理 
模式 ”, “接口 ”为 bridgel2, 勾 选 “ 启 用 ” 复 选 框 。 

(11) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 器 ”界面 ,返回 “HTTP 服务 器 ?列表 界面 ,检查 已 添加 的 HTTP 服务 器 信息 。 

(12) 单 击 面 板 左 侧 导 航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 规则 ”, 选 择 "“HTTP 防护 
规则 ”。 在 “HTTP Flood 攻击 防护 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,如 图 2-222 所 示 。 


U ”Web 防 护 站 HTTP Flood 区 击 防护 “下 CC 攻击 防护 


十 ”安全 情报 中 心 转 省 称 


吕 访 问 扶 制 加 HTTP Flooding Cefault 


他 网 页 防 自 改 


叫 ， 扫 手 品 


CDOos 防 护 笔 略 
CDos 防 护 模 极 
EDos 防 护 规则 | 
了 IP 防 护 规 则 
TCR 防护 现 则 
UDP 防 护 规 则 
HTTP 防 护 规 则 


十 ”网 站 云 防护 
局 日 志 系 统 
向 。 芳 析 对 这 


9 系 纺 诊断 


图 2-222 增加 UDP 防护 规则 


(13) 在 “增加 HTTP Flood 攻击 防护 规则 ”界面 中 ,在 “名 称 ” 中 输入 "HTTP 防护 规 
则 ”, 如 图 2-223 所 示 。 

(14) 单 击 "保存 ?按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 " 确 定 ? 按 钮 ,返回 "增加 HTTP 
Flood 攻击 防护 规则 ”界面 , 单 击 “增加 十 ”按钮 ,增加 防护 规则 ,如 图 2-224 所 示 。 
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增加 HTTP Flood 攻 击 防 护 规则 


名 称 “ HTTP 防 护 规则 


图 2-223 “增加 HTTP Flood 攻击 防护 规则 ”界面 


增加 HTTP Flood 攻 击 防 护 规则 
名 称 * HTTP 防 护 规 则 
| me 


”Web 主机 
没有 检索 到 数据 


2-224 增加 防护 规则 


(15) 在 “增加 HTTP Flood 攻击 防护 规则 和 条目? 界面 中 , “处理 动作 ”设置 为 "封禁 ”， 
其 他 保持 默认 配置 ,如 图 2-225 所 示 。 


增加 HTTP Flood 攻击 防 护 规则 条 目 


Web 主 机 会 _- 请 输入 或 选择 -- 
(0~10000) 
(5-7200) 种 


邮件 | | 短信 


v 


全 局 限 速 | 单 IP 限 速 。” 单 连接 限 速 

Get 请 求 上 加 | 次 /种 
Post 请 求 局 | De 次 /种 
其 他 请 求 @@ Ds 次 /种 


2-225 ”设置 防护 规则 条 目 


(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 HTTP 
Flood 攻击 防护 规则 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 , 返 
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“HTTP Flood 攻击 防护 ”界面 ,可 见 增加 的 防护 规则 ,如 图 2-226 所 示 。 


生 admin 加 如 出 


U Web 防 护 十 HTTP Flood 政 击 防 护 “二 CC 攻击 防护 [n+ | mm 


十 安全 情报 中 心 国 |E 
HTTP FIcecding Default 


号 ”访问 近 测 
四 ”网 页 肪 革履 


已， 扫 岳 器 


已 Dos 防 护 征 格 

DDas 防 护 模 板 

DDos 防 护 规 则 
JR 防护 规则 
TCR 防护 规则 
UDP 防 护 规 则 
HTTR 防 拉 = 规 则 


十 网 站 云 防护 
是 日志 系 凡 
让 分 析 系 统 


直系 目 计 记 


图 2-226 成 功 增 加 HTTP 防护 规则 


(17) 单 击 “DDoS 防护 ”一 “DDoS 防护 模板 ”, 在 “DDoS 防护 模板 ”界面 中 , 单 击 “ 增 加 
十 ”按钮 ,增加 防护 模板 ,如 图 2-227 所 示 。 


号 网 结 世 理 十 DDoS 防护 模板 


先王 础 对 旬 | | Net Default 
门 HTTF Default 
岂 Web 防护 


十” 安全 情报 中 心 
中 ”访问 控制 
人 网 而 肪 想必 


口 ， 扫 描 吧 


举 DDo5 防 护 


DDos 防 护 竹 格 
Daos 防 护 樟 柏 
Daos 防 殷 孝 则 


网 站 去 防护 
局 日 去 系统 
= 他 析 对 煤 


0 系统 读 断 


2-227 ”增加 防护 模板 


(18) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ”为 “~HTTP 防护 模板 ”, 将 “类型” 
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设置 为 “HTTP 防护 ”, 单 击 “HTTP 防护 规则 ”标签 页 , “HTTP Flood 攻击 防护 规则 ” 设 
置 为 “HTTP 防护 规则 ”, 其 他 保持 默认 配置 ,如 图 2-228 所 示 。 
增加 DDeos 防 护 樟 板 


名 称 * HTTP 防 护 模板 


关于 HTTP 防 护 
备注 


下 防护 规则 TCP 防 护 规 则 HTTP 防 护 规 则 


HTTP Flood 攻 击 防护 规则 HTTP 防 护 规则 


CC 攻击 防护 规则 字 


图 2-228 “增加 DDoS 防护 模板 ”界面 


(19) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
模板 ”界面 ,可 见 增加 的 防护 模板 ,如 图 2-229 所 示 。 


局 网 络 管 理 站 CDaos 防 护 柱 板 | 境 in 十 EEE 
a， 互 础 对 旬 | Met Default 网 将 后 防护 
| HTTP Befault HTTR 防 护 


2 [HTTPmieE HTPip | 


十 安全 情 扎 中心 
四 ”访问 控制 
们 ”网 页 防 苇 到 


口 ， 扫 手 品 


DDos 防 护 管 路 
CODos 防 护 模 枝 
DDoS 防护 规则 


十 网 站 云 防 护 
恒 日 志 系 硫 
四 分 析 系 统 


人 系统 诊断 


EF 2 


| 
Ey 


-229 ”成 功 增加 防护 模板 
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(20) 单 击 “DDoSs 防护 ”一 “DDoS 防护 策略 ”, 在 “DDoS 防护 策略 ?界面 中 单 击 “增加 
十 ”按钮 ,增加 防护 策略 ,如 图 2-230 所 示 。 


上 毅 主页 面 


中 DDoS 防护 短 骆 [Ej | 有 MWis 


系统 本 宇 了 了 ] 名 和 夺 先 级 
三 没有 愉 素 到 数据 

局 “ 服 基 器 各 理 

党 ei 和 

昌 Web 防护 

十 安全 情报 中 心 

| 

加 ”网 而 防 草 改 


口 ” 扫 搞 器 


CDosS 防 护 第 睹 
DDoS 防护 樟 板 
DBDos 防 护 规 则 


十 网站 示 防 护 
局 日 志 竺 昱 
向 分 析 系 纹 


机， 至 统 间断 


到 2-230 增加 防护 策略 


(21) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 策略 >， 服务 大 ” 
设置 为 “测试 服务 器 ”,“DDoS 防护 模板 ”设置 为 “HTTP 防护 模板 ”, 其 他 保持 默认 配置 ， 
如 图 2-231 所 示 。 

增加 DDoS 防护 策略 
HTTP 防 护 策 略 
测试 服务 器 


宝 


优先 级 * 全 0 (0~10000) 
启用 v 


图 2-231 “增加 DDoS 防护 策略 ”界面 


(22) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 "DDoS 防护 
策略 ”界面 ,可 见 增 加 的 防护 策略 ,配置 完毕 ,如 图 2-232 所 示 。 
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各 admin [而 诅 浊 
号 网 阔 苇 理 


本 DDas 随 护 策 骆 | t+ | 8 


同 服务 器 管理 


慎 基础 对 条 

各 “Web 防护 
十 ”安全 居 握 中心 
蛋 访问 控制 
他 ”网 豆 防 要 改 


上 要 摘 器 


DDo& 防 护 征 酶 
Dos 防 抗 异 标 
BDos 防 护 规 则 
中 网 站 云 肪 护 
局 日 志 系 统 
加 节 忻 系 皖 


中 对 统 座 断 


图 2-232 成功 增加 防护 策略 


【实验 预期 】 
添加 HTTP 防护 策略 后 ,Web 应 用 防火 墙 阻 断 HTTP Flood 攻击 ,可 见 HTTP 防护 日 志 。 
【实验 结果 】 


(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 PC, 进 入 虚拟 机 ,如 图 2-233 所 示 。 


PC:172.16.2.200 Web 服 务 问 : 172.16.2.100 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 2-233 登录 左 侧 虚 拟 机 


(2) 在 虚拟 机 双击 茧 面 的 "LOIC. exe”, 在 软件 界面 中 ,输入 “IP” 为 *172. 16. 2. 100”， 
单 击 IP 布 侧 的 “Lock on”, Method 选择 HTTP, 输 入 Threads 为 1000, 其 他 保持 默认 
配置 。 

(3) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 HTTP 攻击 。 

(4) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
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人 管理 员 用 户 名 admin 和 密码 admin;, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “日 志 系 统 ” 一 “DDoS 日 志 ”。 在 “DDoS 日 志 ” 界 面 中 ,可 见 HTTP 策 
略 处 理 的 数据 包 记 录 , 如 图 2-234 所 示 。 


中 min 
十 CDo5 日 志 IE 三 


每 页 显示 15 |* 


二 网 黎 管 理 
习 乳 务 器 管理 


着 芋 友 对 旬 


WWeb 防 护 


安全 情报 中 心 


中。 访问 控制 
大 ”网 页 防 香 改 


-起 ， 扫 兵器 


DDes 防 护 


网 站 去 防护 


| 2047-12-01 14:2.. 


aL-12-01 14:2.., 
2017-12-0] 14:2.., 
2017-12-01 4:2.., 
2017-11-30 了 二. 
017-1T-30 2 二... 
2047-11-3 扣 22:4... 
2017-11-30 22:4... 
2017-11-30 22:4... 
2017-11-30 22:44... 
2017-11-30 22:4... 
这 711-30 ZZ: 竺 ... 
17-11-30 22: 和 8... 


2017-11-30 22:9.., Sect] 


172.16.2.200 
172.16,.2.200 
i216.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 
172.16.2.200 


i216,.2.200 


172.16.2.100 
172,16.2.100 
172,16.2.100 
172.16.2.100 
172.162100 
172.162100 
172.162.100 
172.162 100 
172.162100 
172.162100 
172.18.2.100 
172.152.100 
172.162.100 


172,16.2.100 


HTIP Fleod 
HTIP Flood 
HTITP Flaod 
HTTR Fleod 
UDP Fload 
UDP Fload 
UDP Flood 
UDP Flocd 
UDP Fload 
UDP Fload 
UDP Flood 
UDP Flocd 
UDP Flocd 


UDP Flood 


Ee 当 的 1 - 15 , 总共 1767 条 记录 < M23 
南 计 日 志 

访问 日 志 

攻击 日 志 

Does 日志 

网 页 防 竺 改 日 志 


图 2-234 “DDoS 日 志 ” 界 面 


(5) 双击 选中 的 记录 ,在 弹出 的 “细节 ?界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 
“HTTP Flood”,“DDoS 防护 策略 "为 "HTTP 防护 策略 ”等 ,符合 预期 要 求 , 如 图 2-235 所 示 。 


日 志 话 细 信息 


拦 堆 时 间 :2017-11-30 21:57:04 


攻击 者 
172.16.2.200:115/ 


UDP 防 护 策 略 

UDP Flood 攻 击 防护 -UDP 防护 规则 

严重 级 别 中 级 

攻击 类 型 UDP Fleod 


攻击 目标 
172.16.2.100:80 


DDos 防 护 策 略 
DDos 防 护 规 则 
处 理 动 作 丢弃 


协 说 类 型 UDP 
国家 其 他 
首 份 其 他 
城市 其 他 
区 域 对 方 和 您 在 同一 内 部 网 


图 2-235 “细节 ”界面 
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【实验 思考 】 
思考 一 下 ,如果 要 求 封 禁 HTTP Flood 攻击 1000s, 该 如 何 配 置 ? 


2 3 网 页 防 算 改 


231 Web 应 用 防火 场 主 机 网 页 防 复 改 防护 服务 嫁 配 置 实 验 


【实验 目的 】 
管理 员 通过 在 需要 网 页 防 自 改 的 服务 大 上 安装 防护 服务 大 客户 端 和 发 布 客户 端 ,与 
Web 应 用 防火 墙 建立 联系 并 配置 相关 参数 ,完成 利用 Web 应 用 防火 才 网 页 防 佬 改 配置 


【知识 点 】 
网 页 防 复 改 、 网 站 目录 。 
【场景 描述 】 


安全 运 维 工 程 师 小 王 在 对 同事 小 黄 进 行 Web 应 用 防火 墙 设备 技术 培训 时 讲 到 了 网 
页 防 算 改 技术 。 网 页 防 自 改 是 阻止 攻击 者 修改 Web 页 面 的 技术 , 它 可 以 有 效 地 阻止 攻击 
者 对 网 站 内 容 进行 破坏 ,尤其 是 在 攻击 者 突破 Web 防护 后 ,依然 可 以 有 效 地 保护 网 站 , 因 
此 防护 服务 各 的 配置 非常 重要 ,小 王 专 门 花 时 间 教 小 黄 配 置 防护 服务 各 。 请 思考 配置 防 
护 服务 化 的 天 键 点 。 


【实验 原理 】 

网 页 防 算 改 是 一 种 防止 攻击 者 修改 Web 页 面 的 技术 ,可 以 有 效 阻 止 攻击 者 对 网 站 内 
容 进行 破坏 ,尤其 是 在 攻击 者 突破 WAF 的 防护 后 ,依然 可 以 有 效 保护 网 站 。 发 布 服务 器 
将 防护 网 站 备份 目录 作为 发 布 服务 硕 的 目录 ,更 新 网 站 时 更 新 到 备份 目录 ,由 发 布 程序 将 
文件 推送 到 被 保护 的 目录 。 当 服务 器 端 安装 发 布 服务 右 客 户 端 、 防 算 改 客户 端 并 且 正 确 
配置 以 后 ,如 果 该 服务 器 没有 在 WAF 上 配置 ,那么 WAF 就 可 以 探测 到 该 服务 需 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 ,Windows 7 主机 1 人 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-236 所 示 。 
【实验 思路 】 


(1) 配置 Web 应 用 防火 墙 网 络 接口 。 

(2) 配置 防护 客户 端 和 发 布 客户 端 。 

(3) 配置 Web 应 用 防火 墙 获 取 防 护 客户 端 和 发 布 客户 端 信 息 。 
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GE2:172.16.2.110 


管理 机 : 10.0.0.*/24 Web 服 务 器 : 172.16.2.10 
(以 实际 IP 地 址 为 准 ) 


图 2-236 ”Web 应 用 防火 墙 主机 网 页 防臭 改 防护 服务 器 配置 实验 拓扑 


【实验 步骤 了】 

(1) 在 管理 机 打开 浏览 硕 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 设备 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,显示 防火 墙 的 面板 界面 。 单 击 左 侧 的 “网 络 管理 ” 
一 “网 络 接口 ”~ 网 桥接 口 ”, 显 示 当 前 的 网 桥接 口 列 表 。 

(3) 单 击 “十 网 桥接 口 ? 界 面 中 右上 角 的 “增加 十 ?按钮 ,在 弹出 的 “增加 网 桥接 口 ? 界 
面 中 ， 网 桥 号 ?输入 1800,“MTU”“ 模 式 “ 状 态 ” 均 保持 默认 参数 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “插入 并 更 新 网 桥 成 功 ” 的 提示 框 。 

(5) 单 击 “ 确 定 ” 按 钮 后 ,在 “增加 网 桥接 口 " 界 面 中 , 单 击 “ 增 加 十 ”按钮 ,添加 网 桥 的 
IP 地 址 。 

(6) 在 弹出 的 “接口 IP 地 址 配置 ”界面 中 ,“IP 地 址 ”输入 “172. 16. 2. 110”,“ 子 网 掩 
码 ” 输 入 “255. 255. 255. 0”, 其 余 参 数 不 变 。 

(7) 确认 信息 无 误 后 , 单 击 “ 保 存 ” 按 钮 ,显示 “提示 IP 插入 成 功 ” 的 提示 框 。 

(8) 单 击 "确定 ?按钮 ,返回 "增加 网 桥接 口 ? 界 面 , 显 示 添 加 的 IP 地 址 信息 。 

(9) 单 击 “完成 ”按钮 ,返回 “网 桥接 口 ? 列 表 界 面 , 显 示 添 加 的 网 桥 信 息 。 

(10) 单 击 “十 Port 接口 ?标签 页 ,显示 端口 列表 界面 。 

(11) 双击 其 中 的 GE2 接口 ,在 弹出 的 “编辑 Port 接口 ?界面 中 “网 桥接 口 ? 选 择 添 加 
的 bridge1800 。 

(12) 确认 信息 无 误 后 , 单 击 “保存 ”按钮 ,会 显示 “更 新 Port 成 功 ” 的 提示 框 。 

(13) 单 击 “ 确 定 ” 按 钮 ,返回 “十 Port 接口 ?列表 界面 ,显示 GE2 接口 网 桥接 口 信息 已 
变更 。 

(14) 下 载 Web 应 用 防火 墙 中 自理 的 防护 客户 端 和 发 布 客户 端 。 由 于 实验 环境 限 
制 ,防护 客户 端 和 发 布 客户 端 已 提前 下 载 到 虚拟 机 中 ,在 此 说 明 下 载 软件 的 位 置 。 单 击 左 
侧 的 “网 页 防 算 改 ", 在 其 中 显示 “防护 客户 端 下 载 ? 和 ”发 布 客户 端 下 载 ?两 个 项 目 , 分 别 单 
击 对 应 项 目 , 显 示 相 应 的 下 载 页 面 ,如 图 2-237 和 图 2-238 所 示 。 

(15) 登录 实验 平台 对 应 实验 拓扑 中 右 侧 的 Web 服务 天 ,如 图 2-239 所 示 。 

(16) 在 虚拟 机 桌面 中 已 保存 两 个 名 称 为 wkas 和 wkds 的 压缩 包 , 其 中 ,wkas 是 防 
护 客户 跨 程 序 ,wkds 是 发 布 客户 端 程序 ,如 图 2-240 所 示 。 

(17) 双击 wkas. zip 压缩 包 , 双 击 其 中 的 wkas space. exe 程序 安装 软件 。 如 
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责 主 克 国 站 了 护 褒 户 证 下 载 


和 茸 统 配置 | 
下 载 WWindiows 喜 户 请 
通过 下 周 沿 革 洁 下载 二 irdows 同 下 扩 本 收 害 户 自 
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喇 网 陪 管 理 
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图 2-231 


后 长 布 府 户 渍 下 载 


大 通过 下 加 的 控 相 下 载 Windjcews 莹 布 难 笑 诈 砍 户 访 
| ja 点 去 加 六 申 F 


J 吉明 ; 支持 Wiindoers 200372003 有 其 54 己 天 录 


防护 甩 务 哺 至 测 
防护 服 叶 器 配置 
防护 腑 条 器 状态 
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发 布 有 报名 时 配 导 
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证 吝 户 时 下 我 


2-238 


GE1:10.0.0.1 


i 


党 理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


章 Web 应 用 防火 墙 安全 防护 应 用 


下 则 CentDOS/Redhat/Debian/Ubuyuntun 客 户 入 


各 过 下 同 抽 六 于 下 卉 CetisryUeuntunyCantOs/Redhat 风 RFI 基 折 客 户 乱 
语 击 园 来 尼 存 32 位 
= = 二 园 示 民 存 54 也 


redhat 


防护 客户 端 下 载 


下 载 CemtOSyRedhat Debian/Ubuntun 客 户 回 


汤 科 下 国 的 按 科 下载 [rebasgnjUbumtunjCeniD5/Redhail 生 布 肛 攻 鲜 客 产 语 
国 下 皖 邱 54| 科 


redHat 


发 布 客户 端 下 载 


GE2:172.16.2.110 


Web 服 务 器 : 172.16.2.10 


2-239 登录 右 侧 虚拟 机 


2-240 
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图 2-241 所 示 看 
当前 目录 查找 这 持 包 内 查找 ) 


i = 哆 未 知 a wkas. zip 
x ”名称 太 小 压缩 后 去 小 ”类 型 


,人 上层 目录 


图 2-241 双击 安装 程序 
(18) 在 弹出 的 “选择 语言 "界面 中 保留 默认 的 中 文 即 可 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-242 


所 示 。 
(19) 在 弹出 的 “安装 同 导 ?界面 中 , 单 击 "下 一 步 ? 按 钮 ,如 图 2-243 所 示 。 


”欢迎 使 用 wkas 安 装 向 导 


向 对 插 在 各 的 电脑 上 交 装 wcas 版 本 1.5 
建议 铬 在 继续 之 前 关闭 其 他 所 有 应 用 香 序 - 
点 击 “ 下 一 步 * 维 按 ， 或 “取消 " 退出 详 装 向 导 。 


ZEB 


图 2-242 开始 安装 软件 2-243 ”安装 向 导 


(20) 选择 安装 路 径 , 保 留 默 认 安 装 位 置 即 可 ,如 图 2-244 所 示 。 


站 安装 向 导 - wkas I =|9| x| 
自重 去 装 位 置 
将 was 训 装 天 和 何 姑 ? |. 


[| 志 歧 向 导 梅 杷 weas 交 上装 到 以 下 文 作 吹 中 。 
点 南 “ 下 一 步 " 狠 按 。 和 如 时 多 要 选 尿 不 同 的 文件 史 ， 请 点 击 “ 测 览 " 。 


EA | 


燥 妆 至 省 有 11. 5 卓 训 和 节 《》 的 用 宣 辜 副 率 间 。 


< 上 £— 峭 (BD) | TF- » | | 


图 2-244 ”选择 安装 位 置 


(21) 单 击 “下 一 步 ” 按 钮 ,保留 默认 的 快捷 方式 文件 名 ,如 图 2-245 所 示 。 
(22) 单 击 “ 下 一 步 ” 按 钮 ,再 单 击 “安装 ”按钮 开始 安装 ,如 图 2-246 所 示 。 
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FE 第 2 和 草 Web 应 用 防火 墙 安全 防护 应 用 wm 


二 本 攻 一 | 面 帮 生气 


吐 凤 开 内 全 单 京 性 窒 
起 程序 快捷 方式 阁 到 坚 里 ? 


2-245 ”快捷 目录 名 


训 占 席 圳 充 香 
变 装 向导 已 溢 亩 这 毕 ， 拉 开 始 站 人 的 电脑 上 去 六 wira s. 


2-246 ” 单 击 “安装 ”按钮 


(23) 安装 完成 后 ,会 弹出 “配置 选项 ”的 界面 ,表明 安装 成 功 , 单 击 “ 取 消 ” 按 钮 ,后 续 
步骤 中 再 进行 进一步 配置 ,如 图 2-247 所 示 。 


于 配 百 选 现 
192. 168. 1. 100 


127.0.0.1 


1800 
z 
本 


0:1:2:3;4;:5:6:7:8;9:;10:;11:12:13:;14:15:16:;17: 


2-247 ”防护 客户 端 运行 界面 


IE 1195 


本 Web 应 用 防火 墙 技术 及 应 用 实验 指 于 RE 


(24) 安装 好 防护 客户 端 软件 后 ,会 要 求 重启 计算 机 ,在 本 实验 中 选中 “和 否 , 稍 后 我 再 
重启 电脑 ” 单 选 按钮 ,再 单 击 “结束 ”按钮 ,如 图 2-248 所 示 。 


国 [ei E43 
Wkas 安 装 完成 
为 工 于 忆 eas 的 族 。 衣 六 向导 公顷 至 自 多 的 电脑 。 委 立即 和 


个 是 ， Reid | 电脑 加 


a a sd dd a Bd Ba a Ld a a a 一 上 


结果 (了 


图 2-248 ”安装 结束 


(25) 安装 好 防护 客户 端 后 ,再 安装 发 布 客户 端 软 件 。 打 开 wkds. zip 压缩 包 ,运行 其 
中 的 wkds_space. exe 软件 ,安装 发 布 服务 髓 程序 ,如 图 2-249 所 示 。 


™ 当前 目录 查找 志 持 包 内 查找 ) 人 局 
大 小 压 御 后 大 小 ”类 型 4 


3.51 岂 ” 庶 用 程序 


图 2-249 ”运行 发 布 客户 端 安装 软件 
(26) 在 弹出 的 “选择 语言 "界面 中 保留 默认 的 中 文 即 可 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-250 
所 示 。 
(27) 在 弹出 的 “安装 向 导 ” 界 面 中 , 单 击 “下 一 步 ” 按 钮 ,如 图 2-251 所 示 。 


欢迎 使 用 wkds 安 装 向 导 

本 向 导 竺 在 多 的 电脑 上 去 装 咏 ds 版 本 1. 5 

可 议 策 寿 炙 护 之 前 关闭 其 他 所 有 应 用 程序 。 

点 击 “ 下 一 步 ” 继 霹 ， 或 “取消 " 退出 家 玖 向导. 


FEEEE 2 
9 选 保 栾 睹 时 僵 用 喇 言 : 


| 
2-250 开始 安装 软件 四 2-251 


安装 向 寻 
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秸 峡 玄 装 位 下 
插 widas 赤 此 唱 何 簿 3? 


2-252 选择 安装 位 置 


(29) 单 击 “ 下 一 步 ” 按 钮 ,保留 默认 的 快捷 方式 文件 名 ,如 图 2-253 所 示 。 


各 | 安装 向导 - wkds 


惠 征 开 帕 集 单 交尾 误 
杷 程序 快捷 方式 旅 到 坚 里 ? 


2-253 快捷 目录 名 
(30) 单 击 “下 一 步 ? 按 钮 ,再 单 击 “安装 ”按钮 开始 安装 ,如 图 2-254 所 示 。 


衣装 产 吉 充 绅 
去 里 向 导 已 洽 各 完毕 ， 插 开始 在 名 的 电脑 上 家 占 weds。 


2-254 单 击 “安装 ”按钮 
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(31) 安装 完成 后 ,会 弹出 RaySpaceServer 界面 ,表明 安装 成 功 , 单 击 OK 按钮 ,后 续 


步骤 中 再 进行 进一步 配置 ,如 图 2-255 所 示 。 


征 xerspecaSE _ 


IP 192 . 168 . 1 .100 


图 2-255 ”防护 客户 端 运行 界面 


(32) 在 “安装 问 导 ”界面 中 单 击 “ 结 束 " 按 钮 ,完成 发 布 服务 船 客户 器 软件 安装 ,如 


2-250 所 示 总 


候 安装 向导 一 wkds J 是 E -| 口 | 区 | 


wkds 安 装 完 成 
2 屠 身 嘻 已 在 今 的 电脑 上 表 驳 wds。 可 以 遂 过 已 胡 装 的 快捷 方 
让 Fs 


上 点击“ 结束” 退出 率 装 . 


2-256 ”完成 软件 安装 


(33) 至 此 完成 Web 应 用 防火 墙 和 客户 端 安装 的 基础 配置 。 
【实验 预期 】 


(1) 配置 防护 客户 端 ,在 Web 应 用 防火 墙 中 可 检测 到 防护 客户 端 信息 。 


(2) 配置 发 布 客 户 端 ,在 Web 应 用 防火 墙 中 可 检测 到 发 布 客户 端 信息 


【实验 结果 】 
1) 配置 防护 客户 端 并 在 Web 应 用 防火 墙 中 检测 防护 客户 端 


电 。 


(1) 在 虚拟 机 单 击 左下 角 的 “开始 ”按钮 ,在 弹出 的 菜单 中 选择 “所 有 程序 ”~ wkas 一 


“管理 中 心 配置 ”命令 ,如 图 2-257 所 示 。 


(2) 在 弹出 的 “配置 选项 ”界面 中 ,“ 域 名 或 IP” 输 入 Web 应 用 防火 墙 网 桥 配 置 中 的 IP 
地 址 为 "172. 16. 2. 110”。“ 发 布 中 心 ”输入 本 机 的 全 地 址 为 “172. 16. 2. 10” 或 “127. 0. 0.1” 均 


可 ,如 图 2-258 所 示 。 


(3) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 后 ,软件 会 自动 进入 后 台 运 行 。 
(4) 返回 Web 应 用 防火 墙 的 Web UI 界面, 单 击 左 侧 的 “网 页 防 算 改 ”一 “防护 服务 器 
探测 ”, 显 示 “ 十 防护 服务 器 探测 ”列表 界面 ,显示 检测 到 的 防护 客户 端 信息 ,如 图 2-259 


所 示 。 
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= phpstudy 器 Everythine kk 

i 回 phpstaudy 

Searech Everyt. 入 was | 器 ”管理 中 心 配置 

A eg D0 
首 有 程序 @ a 3 wkss 空 亲 发 布 时 间 (区 


注销 [加 关机 


CE TT 


图 2-257 运行 防护 客户 端 管 理 中 心 配 置 程序 


陆 护 肯 务 库 缠 齐 
主 贞 名 


2-259 ”检测 到 防护 客户 端 


(5) 综 上 所 述 ,Web 应 用 防火 墙 检测 到 返回 客户 端 软件 ,满足 预期 要 求 。 

2) 配置 发 布 客户 端 并 在 Web 应 用 防火 墙 中 检测 发 布 客户 端 

(1) 返回 实验 平台 对 应 实验 拓扑 中 右 侧 的 虚拟 机 中 ,继续 单 击 “开始 ”>“ 所 有 程序 ”一 
wkds 一 “管理 中 心 配 置 ”, 在 弹出 的 RaySpaceServer 界面 中 ,IP 输 入 Web 应 用 防火 墙 
GE2 接口 的 IP 地 址 为 “172. 16. 2. 110”, 如 图 2-260 所 示 。 


+ 由 a 人 


图 2-260 ”设置 管理 中 心 IP 


(2) 确认 信息 无 误 后 , 单 击 OK 按钮 ,程序 会 自动 进入 后 台 运 行 。 由 于 IP 信息 发 生 
变化 ,因此 需要 重新 启动 服务 。 单 击 “ 开 始 ” 一 “所 有 程序 ”>wkds 一 “停止 服务 ”, 将 当前 
运行 的 服务 停止 ,如 图 2-261 所 示 。 
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| 可 本 
Administra 


ES Java Dewelopment Kit 
国有 Hotepadtt+ 


二 | 回 附件 
恒 下 管理 工具 


问 自动 


3 Mozilla Firef Internet Explorer 
咏 ， Mozills Firefox 
es 管理 中 心 配置 加 | Dutlook Express 
ic。 远程 协助 :地 管理 中 心 配 置 
四 Fverythine kb 开启 服务 
站 phpSstuay 站 开启 消息 服务 


| vkds | 


所 有 程序 FF)| PF a 


图 2-261 停止 发 布 客户 端 服 务 


(3) 弹出 DOS 命令 行 界 面 , 显 示 服 务 正 在 停止 ,如 图 2-262 所 示 。 


图 2-262 正在 停止 服务 


(4) 再 次 单 击 “ 开 始 ” 一 “所 有 程序 ”一 wkds 一 “开启 服务 ”, 重 新 开启 发 布 客户 端 服 
务 ,如 图 2-263 所 示 。 


人 Windows Catalog 
ee 坊 Windows Update 
< 目 管 理 叙 的 服务 图 好 压 


ca T 了 -Zip 有 
AA/ indors 次 沽 下 
Java Dewelopment Kit bl 

时 闻 令 近 示 得 | 闻 ] Notepadt+ } 
回 附件 

闻 管理 工具 

网 启动 : 


区 Mozilla Firet | Internet Explorer 


出 Wozilla Firefox 
es 管理 中 心 配 置 加 Dutlook Express 


-入 5-， 远程 协助 “* 管 理 中 心 配置 
主 回 了 werythine 直到 开启 服务 
所 回 ?hpstady } 四 开启 消 息 及 守 守 -: 
加 me 国 th: 》 国 | 停止 服务 


"EE 
1 


所 有 程序 E) "ES 
注销 [6] 关机 


直 开 始 | 甫 国 昌 | 
图 2-263 重新 开启 服务 
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(5) 返回 Web 应 用 防火 墙 的 Web UI 界面 中 , 单 击 左 侧 的 “网 页 防 算 改 ”->“ 发 布 服务 
器 探测 ”, 显 示 “ 十 发 布 服 务 器 探测 ”列表 界面 ,显示 检测 到 的 发 布 客户 端 信息 ,如 图 2-264 
所 示 。 


十 点 布 服务 强 探 询 


防护 服务 器 择 测 
防护 服务 器 配 至 
防护 服务 能 状 过 
防护 堵 户 山下 载 


图 2-264 ”探测 到 发 布 服务 器 信息 


(6) 综 上 所 述 , 防 护 客户 端 和 发 布 客 户 端正 确 配 置 后 ,Web 应 用 防火 墙 可 检测 到 客户 
端 运行 ,满足 预期 。 
【实验 思考 】 
(1) 防护 客户 端 与 发 布 客户 端的 侧重 点 有 什么 不 同 ? 
(2) 在 本 实验 中 返回 客户 端 和 发 布 客户 端 部 署 在 同一 台 主 机 中 ,在 实际 应 用 中 是 否 
可 以 采用 相同 方式 部 署 ? 


232 Web 应 用 防火 墙 网 页 防 算 改 实验 

【实验 目的 】 

管理 员 通 过 配置 Web 应 用 防火 墙 中 防护 服务 器 和 发 布 服 务 器 配置 ,实现 对 Web 服 
务 器 网 页 的 防 算 改 和 发 布 功能 ,完成 对 需要 网 页 防 算 改 服务 的 服务 器 的 安全 防护 。 


【知识 点 】 
网 页 防 晶 改 、 网 站 目录 。 


pn 
公司 张 经 理发 现 服务 善 网 站 的 局 部 内 容 有 变动 ,经 过 调查 发 现 网 页 的 内 容 被 算 
改 。 alowed \ 司 的 隐私 ,也 会 让 客户 对 公司 产生 不 信任 感 。 因 此 , 张 经 理 
要 求 安 全 运 维 工程 师 小 王 使 用 Web 应 用 防火 墙 设备 阻止 对 网 页 的 恶意 算 改 行为 。 请 思 
考 应 如 何 配置 才能 有 效 地 防止 网 页 被 算 改 。 
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【实验 原理 】 
同 2. 3. 1 节 中 的 实验 原理 。 
【实验 设备 】 


。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 网 络 设备 : 路 由 天 1 台 。 

。 主机 终端 Windows Server 2003 SP2 主机 1 台 ,Windows XP 主机 1 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-265 所 示 。 


Bridge1800:172.16.2.110 


GE2:bridge1800 ,| | GE3:bridge1800 


] /2.10.2.] 


Web 服 务 器 : 172.16.2.10 


PC:110.69.70.,100 管理 机 : 10.0.0.22/24 
GW:110.69.70.1 (以 实际 IP 地 址 为 准 ) 
图 2-265 Web 应 用 防火 墙 网 页 防臭 改 实验 拓扑 
【实验 思路 】 


(1) 配置 Web 应 用 防火 墙 网 络 接口 。 

(2) 配置 发 布 服务 器 。 

(3) 配置 防护 服务 站 。 

(4) 外 网 用 户 正 常 浏览 网 站 页 面 。 

(5) 在 发 布 服务 器 关联 目录 修改 网 页 后 ,可 同步 至 网 站 目录 中 ,外 网 浏览 网 站 首页 为 


修改 后 的 页 面 内 容 。 


(6) 配置 好 防护 服务 禹 和 发 布 服务 天 后 ,外 网 不 能 成 功 攻击 网 站 。 关 闭 防 护 服务 着 


和 发 布 服务 胡 后 ,外 网 攻击 网 站 网 页 可 以 臭 改 成 功 。 


【实验 步骤 了】 
(1) 在 管理 机 打开 浏览 紫 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 设备 的 IP 地 址 


“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
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人 管理 员 用 户 名 admin 和 密码 admin, 登 录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,显示 防火 墙 的 面板 界面 。 单 击 左 侧 的 “网 络 管理 ” 
一 “网 络 接口 ”一 “网 桥接 口 ”, 显 示 当 前 的 网 桥接 口 列表 。 

(3) 单 击 “十 网 桥接 口 ? 界 面 中 右上 角 的 "增加 十 ?按钮 ,在 弹出 的 “增加 网 桥接 口 ? 界 
面 中 ,“ 网 桥 号 ”输入 1800,MTU 和 “模式 “状态 ” 均 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “插入 并 更 新 网 桥 成 功 ” 的 提示 框 。 

(5) 单 击 “ 确 定 ” 按 钮 后 ,在 “增加 网 桥接 口 ”* 界 面 中 , 单 击 “增加 十 ”按钮 ,添加 网 桥 的 
IP 地 址 。 

(6) 在 弹出 的 “接口 IP 地 址 配置 ”界面 中 ,“IP 地 址 ”输入 “172. 16. 2. 110”,“ 子 网 掩 
码 ” 输 入 “255. 255. 255. 0”, 其 余 参 数 不 变 。 

(7) 确认 信息 无 误 后 , 单 击 “ 保 存 ” 按 钮 ,显示 “提示 IP 插 入 成 功 ” 的 提示 框 。 

(8) 单 击 " 确 定 ? 按 钮 ,返回 "增加 网 桥接 口 ?界面 ,显示 添加 的 IP 地 址 信息 。 

(9) 单 击 “完成 ”按钮 ,返回 “网 桥接 口 ? 列 表 界 面 , 显 示 添 加 的 网 桥 信 息 。 

(10) 单 击 “ 十 Port 接口 ?标签 页 ,显示 端口 列表 界面 。 

(11) 双击 其 中 的 GE2 接口 ,在 弹出 的 “编辑 Port 接口 ”界面 中 ,“ 网 桥接 口 ” 选 择 添加 
的 bridge1800 。 

(12) 确认 信息 无 误 后 , 单 击 “保存 ?按钮 ,显示 “更 新 Port 成 功 ” 的 提示 框 。 

(13) 单 击 “确定 ?按钮 ,返回 “十 Port 接口 ?列表 界面 ,显示 GE2 接口 网 桥接 口 信息 已 
变更 。 

(14) 再 次 双击 其 中 的 GE3 接口 ,在 弹出 的 “编辑 Port 接口 ?界面 中 ， 网 桥接 口 ? 选 择 
添加 的 bridge1800 。 

(15) 确认 信息 无 误 后 , 单 击 “保存 ?按钮 ,显示 “更 新 Port 成 功 ” 的 提示 框 。 

(16) 单 击 “确定 ”按钮 ,返回 “十 Port 接口 ”列表 界面 ,显示 GE2 .GE3 接口 网 桥接 口 
信息 已 变更 。 

(17) 下 载 Web 应 用 防火 墙 中 自 带 的 防护 客户 端 和 发 布 客户 闪 。 由 于 实验 环境 限 
制 ,防护 客户 端 和 发 布 客户 端 已 提前 下 载 到 虚拟 机 中 ,在 此 说 明 下 载 软件 的 位 置 。 单 击 左 
侧 的 “网 页 防 自 改 ,在 其 中 显示 "防护 客户 端 下 载 ? 和 ”发 布 客户 端 下 载 ?两 个 项 目 ,分 别 单 
击 对 应 项 目 , 显 示 相 应 的 下 载 页 面 , 如 图 2-266 和 图 2-267 所 示 。 

(18) 登录 实验 平台 对 应 实验 拓扑 中 右 侧 的 Web 服务 融 虚 拟 机 ,如 图 2-268 所 示 。 

(19) 在 虚拟 机 桌面 中 已 安装 防护 客户 端 和 发 布 客 户 端 。 单 击 “ 开 始 ” 一 “所 有 程序 ” 
一 wkas 一 “管理 中 心 配 置 ”, 在 弹出 的 “配置 选项 ”界面 中 ,可 查看 防护 客户 端的 配置 信息 ， 
如 图 2-269 所 示 。 

(20) 单 击 “ 确 定 ” 按 钮 ,程序 自动 进入 后 台 运 行 。 再 次 单 击 “开始 ”一 “所 有 程序 ”一 
wkds 一 “管理 中 心 配置 ”, 在 弹出 的 RaySpaceServer 界面 中 ,显示 发 布 客户 端的 配置 信息 ， 
如 图 2-270 所 示 。 
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屁 主 克 国 中 防 扩 客户 畏 下 开 


9 ， 字 过 配 于 


下 载 Wimdows 喜 户 应 下 二 CEnmtDSrRedhatrDaebiarnyUbuntun 喜 户 纺 


马 网 多 管 理 万 通过 下 面向 车 用 下载 Windawi 网 由 防 复 政 完 户 起 通过 下 而 的 菏 三 下 载 GabiamiiLEuniumCantagRRadhat 由 而 防 莫 政 需 户 灌 
局 ”办 号 器 管 理 9 | a 贺 来 民 存 NV 国 来 虹 存 32 三 


上 ”了 te 明 : 六 Indows 200372008 玉 其 094 位 竹 纤 ™ 扎 击 园 来 避 存 54 位 
置 其 动 i 轴 


redhat 


“Web 防护 
十 “实生 人 纺 中 心 


各 访问 控制 


肪 所 国 备品 杭 测 
访 癌 眼 务 癌 配 年 
防护 节 务 醒 半 去 
洗 布 用 气 吕 本 [可 
扫 布 客 记 户 下 二 


2-266 ”防护 客户 端 下 载 


中 点 右 宪 户 汪 下载 


下 载 同 inadews 客 户 志 下 载 CantDS/Redhat Debiamn/Ubuntun 客 户 拆 


记 通过 下 夯 的 按 相 下 载 MiWindcws 知 布 请 苦 侠 客户 亏 巴 了 [下 国 的 近 科 下 载 [ebisnjUbuntun/CeniDS/Redhst 管 布 服 医 厂 砍 产 入 
| 好 点 击 国 六 是 序 启 诗 园 六 量 让 322 位 
人 / 部 明 ; 喜 桂 Windows 2003J2005 及 其 54 习 天 总 点 立 园 过 避让 654 位 


redHat 


党 布 服 邯 骸 环 测 
迷 疝 服务 虞 配置 
举 布 腊 备 噶 忧 帮 


举 布 亲 户 后 下 心 


2-267 ”发 布 客户 端 下 载 


Bridge1800:172.16.2.110 


GE3:bridge1800 


Web 服 务 器 : 172.16.2.10 


PCL:] 10.69.70.100 管理 机 ;10.0.0.22/24 
GW:110.69.70.1 (以 实际 IP 地 址 为 准 ) 


2-268 登录 右 侧 虚拟 机 
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域名 或 IP [172.16.2110 


ET 


宝 闲 澳 负 时间 【 各 ) Ey - EaySpaceServer EE | | | x| 
正点 发 布 时 间 以 分 号 隔 开 ) 
DO;:1;2:3;4;5;6:;:7;8;9;10;11;12;13;14;15;16:;17.; 


图 2-269 ”防护 客户 端 配 置 图 2-270 发 布 客 户 端 配置 


(21) 单 击 OK 按钮 ,程序 进入 后 台 运 行 。 在 本 实验 中 ,虚拟 机 “C:\InetpubN\wwwroot” 
为 网 站 根 目 录 , 为 需要 防 算 改 保护 的 目录 。 虚 拟 机 “C:\publish ”为 发 布 客户 端的 配置 目 
录 ,网 站 页 面 修改 后 的 文件 放 在 该 目录 中 ,由 发 布 程序 同步 到 网 站 根 目 录 中 ,该 目录 中 文 
件 内 容 与 网 站 根 目 录 中 文件 内 容 是 相同 的 ,如 图 2-271 所 示 。 


Cc:\Inetpablirerrroot 
文件 到 ) ”编辑 邓 ) 查看 WW) 收 诚 和 0) 工具 (TD) 帮助 四 
园 后 B - 同 - 人 个 | 吃 搜 索 方 文 件 夹 | 记 证 X 中 | 回 - 
地 址 人 @) DC:\Inetpub\ywwroot 
目 片 拍照 日 期 
属 | iisstart, htm Firega HTINL Deo.. po pe 21 20:15 让 
电 | index. html Firefox HINL Do 2017-12-7 17:02 让 
| pagerror. Eif GIF 图 像 2003-2-21] 18:48 让 
| 蝇 | 复 件 index. html Firefox HINL Doe... 2017-l2-T 15:05 让 
访 C:\publi sh Nh 
文件 字 ) 编辑 代 ) 查看 由) 收藏 的 ) 工具 (I) 帮助 册 ) 
Gf 所 -日 -让 | 记 拉 要 访 文 人 天 | 应 外 XX 如 | 国 : 
地 址 血 ) |) c: publish 
rr 修改 日 其 
2 EB Firefox HINL Do,.. 2003-2=21 20:15 


| index. html 1 EB Firefox HINL Do... e201liT-le-? 117:02 
pagerror. gif 3 到 6IF 图 者 2003-2-21 18:48 


避 | 复 件 index. html 1 HB Firefox HIML Do... 2017-12-7 15:05 


图 2-271 网 站 根 目 录 与 发 布 目录 相同 


(22) 首先 配置 发 布 服务 器 。 返 回 Web 应 用 防火 墙 的 Web UI 界面 中 , 单 击 左 侧 的 
“网 页 防 算 改 ”一 “发 布 服务 右 探 测 ”, 在 “十 发 布 服务 右 探 测 ” 列 表 界 面 ,显示 检测 到 的 发 布 
客户 端 信息 ,如 图 2-272 所 示 。 

(23) 在 “十 发 布 服务 器 探测 ”界面 中 , 单 击 探测 到 的 发 布 服务 器 w3sp2, 然 后 再 单 击 
右上 角 的 “生成 配置 十 ”按钮 ,在 弹出 的 “发 布 服务 器 配置 "界面 中 ,“ 名 称 ” 输 入 publish( 注 意 
不 能 使 用 中 文 ), “发 布 服务 右 根 目录 ”输入 虚拟 机 的 发 布 目录 “C:\publish”, 如 图 2-273 
所 示 。 
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得 主页 面 十 党 布 服务 器 述 齐 


马 “网络 管 理 
刁 服 条 髓 管理 
锚 共 直 对 旬 
U Web 防 护 


十 “安全 傅 失 中 心 


防护 服务 器 摊 

防护 县 生出 本 委 

防护 客户 请 下 性 
Ei 


图 2-272 检测 到 发 布 服务 器 客户 端 信息 


pi 
wasp2 
IP 地 址 * 172.16.2.10 
操作 系统 类 型 ， 
发 布 服务 闹 根 目 录 * 
例外 目录 (用 ; 分 隔 ) 


例外 文件 (用 ; 分 了 商 ) 


图 2-273 ”发布 服务 器 配置 


(24) 确认 信息 无 误 后 , 单 击 “ 确 认 ”按钮 ,显示 “增加 发 布 服务 器 成 功 ” 的 提示 框 ,如 
2-274 所 示 。 


图 2-274 增加 发 布 服务 器 成 功 


(25) 单 击 “确定 ?按钮 ,返回 "十 发 布 服务 器 探测 ?列表 界面 ,由 于 探测 到 发 布 服务 顺 
已 经 配置 完毕 ,因此 在 列表 界面 中 不 再 显示 ,如 图 2-275 所 示 。 

(26) 单 击 左 侧 的 “网 页 防 算 改 >“ 发布 服务 器 配置 ”, 在 “十 发 布 服务 占 配置 ”列表 中 
可 见 添 加 的 发 布 服务 占 信 息 , 如 图 2-276 所 示 。 

(27) 单 击 “ 网 页 防 算 改 ”>“ 发 布 服务 器 状态 ”, 在 “十 发 布 服务 器 状态 ”列表 中 ,可 见 
发 布 服 务 需 已 连接 成 功 , 如 图 2-277 所 示 。 

(28) 单 击 “网 页 防 自 改 "一 ”防护 服务 器 探测 ”, 在 “十 防护 服务 器 探测 ?列表 界面 中 ， 
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业 发 布 图 务 朋 环 测 


主机 各 
汉 有 性 率 列 可 用 


防 扩 有 原 务 圳 探测 
防护 服务 器 配 加 
肪 护 旧 务 露 羽 夸 
防护 客户 铬 下 要 
类 布 朋 闭 早 探测 


图 2-275 发布 服务 器 探测 列表 


不 点 市 服 革 器 配置 


,， 记 妊 


防护 有 和 莹 贺 挥 测 
彤 护 觅 气 强 配置 
防护 服务 器 改 态 
防护 客户 情 下 肥 
上 履 布 腿 另 器 挥 测 
本 ha 


图 2-276 ”发布 服务 器 配置 信息 


图 2-277 发布 服 务 器 连接 成 功 


显示 探测 到 的 防护 客户 病 信 息 , 如 图 2-278 所 示 。 

(29) 在 “十 防护 服务 需 探 测 ? 列 表 界 面 , 单 击 探测 到 的 防护 客户 端 w3sp2, 再 单 击 碳 
上 角 的 “生成 规则 十 ?按钮 ,在 弹出 的 “防护 服务 器 配置 ?界面 中 “Web 名 称 ” 输 入 Web- 
Server( 不 要 使 用 中 文 ) ,其 他 参数 保留 默认 值 ,如 图 2-279 所 示 。 

(30) 单 击 “下 一 步 ” 按 钮 ,在 “Web 根 目录 ”中 输入 虚拟 机 的 网 站 根 目录 “C.\Inetpub\ 
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2-278 探测 到 防护 客户 端 信息 


图 2-279 配置 防护 服务 器 
wwwroot”( 注 意 输 入 区 分 大 小 写 ) ,其 余 参 数 不 变 , 如 图 2-280 所 示 。 


0- 6@:-. 

ET 
操作 系统 类 型 Windows 
Web 根 目录 *” 全 
例外 目录 /文件 心 


例外 妆 件 兴 型 总 


例外 进程 合 


图 2-280 设置 网 站 根 路 径 


(31) 单 击 “下 一 步 ? 按 钮 发 布 服务 器 ?设置 为 前 述 步 又 添加 的 publish, 如 图 2-281 
所 示 。 
(32) 单 击 “完成 ”按钮 ,显示 “增加 防护 服务 器 成 功 ” 的 提示 杠 , 如 图 2-282 所 示 。 
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2-281 关联 发 布 服务 器 


增加 防护 服务 器 成 功 ! 
图 2-282 增加 防护 服务 器 成 功 


(33) 单 击 “确定 ”按钮 ,返回 “十 防护 服务 器 探测 ”列表 界面 ,由 于 探测 到 的 防护 客户 
问 已 配置 完毕 ,因此 在 列表 中 没有 相关 内 容 显 示 , 如 图 2-283 所 示 。 


二 防护 瞪 务 露 押 负 


主 由 各 
汪 有 朱 喜 Et 近 


图 2-283 防护 服务 此 探测 列表 


(34) 单 击 “ 网 页 防 算 改 ”一 “防护 服务 器 配置 ”, 在 “十 防护 服务 器 配置 ”列表 界面 ,可 
见 添 加 的 防护 服务 器 信息 ,如 图 2-284 所 示 。 


图 2-284 防护 服务 器 配置 信息 


(35) 单 击 “ 网 页 防 算 改 ”>“ 防 护 服 务 带 状态”, 在 “十 防护 服务 右 状 态 ” 列 表 界 面 中 ， 
可 见 防护 服务 天 已 连接 成 功 , 如 图 2-285 所 示 。 


209 


Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指导 IE 


图 2-285 防护 服务 器 连接 成 功 


(36) 至 此 已 完成 Web 应 用 防火 墙 和 客户 端的 基础 配置 。 


【实验 预期 】 

(1) 外 网 用 户 访问 Web 服务 器 可 正常 浏览 页 面 。 

(2) 在 发 布 服务 器 关联 目录 修改 网 页 ,可 同步 至 网 站 根 目 录 中 ,外 网 用 户 浏览 网 站 页 
面 变更 为 修改 后 的 网 页 。 

(3) 启动 防护 服务 器 后 ,外 网 网 页 自 改 攻击 不 成 功 。 关 闭 防 护 服 务 器 和 发 布 服务 需 ， 
外 网 网 页 复 改 攻击 可 以 成 功 。 

【实验 结果 】 

1) 外 网 用 户 正 常 浏览 Web 服务 器 网 页 

(1) 进入 实验 平台 对 应 实验 拓扑 左 侧 的 PC 虚拟 机 ,如 图 2-286 所 示 。 


Bridge1800:172.16.2.110 


GE2:bridgel800 GE3:bridgel800 


172.10,.2.] 


PC:110.69.70.100 管理 机 : 10.0.0.22/24 


GW:110.69.70.] (以 实际 IP 地 址 为 准 ) 


2-286 ”登录 左 侧 虚拟 机 


(2) 在 虚拟 机 桌面 双击 火狐 浏览 右 快 捷 方式 ,运行 火狐 浏览 器 ,如 图 2-287 所 示 。 

(3) 在 浏览 器 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 “172. 16. 2. 10”, 可 正常 显示 网 站 
页 面 ,如 图 2-288 所 示 。 

(4) 综 上 所 述 , 外 网 用 户 可 正常 浏览 网 站 页 面 ,满足 预期 要 求 。 
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立 件 中 ) ”编辑 偿 ) 得 看 (四 ”历史 (性) 书签 人 ) 工具 这) 天助 出 ) 


http: /fl1T2.16.2. 10/ 


(和 | 四 172.16.2.10 


这 是 正常 的 首页 ， 


图 2-287 ”运行 火狐 浏览 器 图 2-288 ”正常 浏览 网 站 页 面 


2) 修改 发 布 服务 器 关联 目录 中 的 网 页 内 容 , 同 步 至 网 站 目录 中 并 可 正常 浏览 
(1) 进入 实验 平台 对 应 实验 拓扑 中 右 侧 的 Web 服务 器 虚拟 机 中 ,如 图 2-289 所 示 。 


Bridge1800:172.16.2.110 


GE3:bridgel800 


Web 服 务 彰 : 172.16.2.10 


PC:110.69.70.100 管理 机 ，10.0.0.22/24 
GW:110.69.70.1 (以 实际 到 地 址 尖 准 ) 


2-289 ”登录 右 侧 虚 拟 机 


(2) 在 虚拟 机 中 进入 “*C:\publish” 目 录 中 , 右 击 index. html 文件 ,在 弹出 的 快捷 菜单 
中 选择 “编辑 ”命令 ,如 图 2-290 所 示 。 

(3) 在 打开 的 “记事 本 ”界面 中 ,将 网 页 内 容 由 原来 的 “这 是 正常 的 首页” 修改 为 “这 是 
修改 后 的 首页 ”, 如 图 2-291 所 示 。 


访 C:\publish 

艾 件 全 ) ”六 辑 外 ) 查看 收藏 入 工具 QY) 
回 扫 - 回 "他 | 让 搜索 门 文 件 夹 | 本 已 
地 址 血 ) | 六 Chpublish 


加 imadez.khtsl 一 记事 本 
女 件 严 ) 辆 辑 字 ) 格式 0) 查看 名 希 助 加 ) 


这 是 修改 后 的 自由 | 
| 


图 2-291 修改 网 页 内 容 
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(4) 保存 后 ,比较 “C.\publish” 和 “C.\Inetpub\wwwroot” 目 录 中 index. html 的 文 
件 , 可 见 两 个 文件 已 同步 ,如 图 2-292 所 示 。 


CC:\Inetpablerrrroot 
文件 企 ) ” 蝙 辑 邓 ) 查看 (WD) 收藏 由 ) 工具 人 并) 帮助 出 ) 
回 扫 - 昌 - 个 | 启 搜 索 三 文件 下 | 这 机 汉 史 | 回 - 
地 址 血 ) | c: ‘Inetpub\wewroot 
名 称 < | 大 小 | 类 型 | 修改 日 其 
| ii 2 EB Firefox HTML Do... 2003-2-21 20:15 
| 1 EE Firefox HINL Do... 
| pagerror. gif 3 三 GIF 图 像 2003-2-21 16:46 
性 | 复 件 index. html 1 EE Firefox HINL Do... 2017-12-7 15:05 


[CC-:\publish 

文件 下 编辑 下 ) 查看 总) 收藏 避 ) 工具 代 ) 帮助 出) 

回 后 -日 "让 | 让 扫 索 访 交 人 天 | 访 久 XX 史 | 回 - 
地 址 器) DD CNpublish 


[有 2 EB Firefox HIML Do... 2003-2-21 20:15 
入 |iindex. html : 1 EE Firefox HIML Do... 2017-12-3 10:43 
| pagerr or. elif 3 下 GIF 图 像 2003-2-21 18:48 
尾 | 复 件 index. html l HB Firefox HINML Do..， 2017-12-7 15:05 


2-292 文件 同步 成 功 


(5) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 PC 虚拟 机 ,运行 火狐 浏览 各 ,刷新 “172. 16. 
2.10” 网 站 的 页 面 ,可 见 网 页 内 容 已 更 新 ,如 图 2-293 所 示 。 


芯 件 人 还) 岛 辑 亿 ) ”至 看 如 内 史 (8) 书签 人 B) 工具 CII) 有 其 加 


http://172. 16.2. 107/ 


Le (172. 16.2.10 


这 是 修改 后 的 首页 ! 


2-293 网 站 页 面 已 更 新 


(6) 综 上 所 述 ,发 布 服务 天 关联 目录 中 内 容 修改 后 ,可 同步 至 网 站 目录 中 ,满足 
预期 要 求 。 

3) 在 网 页 防 算 改 服务 启动 时 ,外 网 网 页 算 改 攻击 不 成 功 

(1) 进入 实验 平台 对 应 实验 拓扑 左 侧 的 PC 虚拟 机 ,如 图 2-294 所 示 。 

(2) 在 虚拟 机 桌面 上 ,双击 “首页 算 改 攻击 . bat” 的 快捷 方式 ,攻击 Web 服务 器 ,如 图 
2-295 所 示 。 

(3) 运行 攻击 程序 后 ,显示 发 起 攻击 的 页 面 ,如 图 2-296 所 示 。 

(4) 再 次 打开 火狐 浏览 器 ,刷新 “172. 16. 2.10” 的 网 页 ,网 页 依然 显示 2. 3. 2 节 中 的 
网 页 内 容 , 网 页 算 改 攻击 未 成 功 , 如 图 2-297 所 示 。 

(5) 综 上 所 述 , 在 网 页 防 算 改 功能 开启 时 ,外 网 对 网 站 发 起 攻击 后 未 能 算 改 网 站 页 
面 ,满足 预期 要 求 。 
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Bridge1800:172.16.2.110 


GE3:bridgel800 


Web 服 务 硕 : 172.16.2.10 


ee 管理 机 ;10.0.0.22/24 
GW:110.69.70.1 (以 实际 JP 地 址 为 准 ) 


图 2-294 登录 左 侧 虚拟 机 


c* CAFINDOVTS\systen32\cnd. exe 
已 友 动 网 由 量 改 到 击 | 


[接任 昔 和 键 退 出 ] 


到 2-295 运行 网 页 攻击 程序 图 2-296 发 起 网 页 算 改 攻击 


http: /i1T2, 18.2.10/ 


fe | (| 172. 16. 2. 10 


这 是 修改 后 的 首页 


图 2-297 首页 未 被 算 改 


4) 关闭 网 页 防 算 改 服务 ,外 网 网 页 算 改 攻击 成 功 

(1) 返回 Web 应 用 防火 墙 的 Web UI 界面 , 单 击 左 侧 的 “网 页 防 算 改 ” 一 “防护 服务 吕 
配置 ”, 在 “十 防护 服务 器 配置 ”列表 界面 , 单 击 前 述 步 怒 配 置 的 WebServer, 上 再 单 击 右上 角 
的 “删除 xX” 按钮 ,将 该 配置 删除 ,如 图 2-298 所 示 。 

(2) 在 弹出 的 “确认 要 这 样 做 吗 ?” 提 示 框 中 , 单 击 OK 按钮 ,如 图 2-299 所 示 。 

(3) 单 击 OK 按钮 后 ,会 弹出 “删除 防护 服务 需 配 置 成 功 ? 的 提示 框 , 如 图 2-300 所 示 。 
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加 Web 应 用 防火 墙 技术 及 应 用 实验 指导 IE 


宣 主页 面 


十 防护 服务 器 配置 


关于 纹 配 轩 J Web 吉 入 IP 地 址 


己 网络 管理 172.15.2.10 


司 ” 展 务 器 管理 


唱 ”访问 控制 


防护 上 服务 圳 配置 


2-298 ”删除 防护 服务 器 


图 2-299 ”确认 删除 


删除 防护 服务 器 配置 成 功 


图 2-300 ”删除 成 功 


(4) 单 击 “确定 ”按钮 ,返回 “十 防护 服务 带 配 置 ” 界 面 ,内 容 已 清空 ,如 图 2-301 所 示 。 


二 防护 服务 器 配 辐 


| Web 名 称 
没有 检索 到 数据 


血 基础 对 匀 


上 Web 防 护 


安全 情报 中 心 


访问 控制 


2-301 防护 服务 器 列表 
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(5) 单 击 “ 网 页 防 算 改 ”>“ 发 布 服务 器 配置 ”, 在 “十 发 布 服务 器 配置 "界面, 单 击 
publish ,再 单 击 右上 和 角 的 “删除 XxX” 按钮 ,如 图 2-302 所 示 。 


位 主页 面 


二 发 布 服务 路 配置 


衣 系统 本 时 [v| 名 和 IP 地 址 
与 ”网 绍 世 理 172.16.2.10 
回 ” 骂 学 器 管理 

诈 革 HM 订 

用 Web 防护 

十 ”安全 情报 中 心 


上 号 ”访问 控制 


访 护 服务 器 桩 齐 
访 护 瞩 务 器 可 办 
访 护 服务 器 状 志 
防护 客户 峭 下 载 
点 布 服 气 器 抒 测 


CE 再 = 人 下 | 
丁 2 人 [三 


图 2-302 ”删除 发 布 服务 器 


(6) 单 击 “ 删 除 X” 按 钮 后 ,会 弹出 “确认 要 这 样 做 吗 ?” 的 提示 框 ,如 图 2-303 
所 示 。 


确认 要 这 样 做 吗 ? 


Cancel 


图 2-303 ”确认 删除 发 布 服务 需 


(7) 单 击 OK 按钮 ,弹出 “删除 发 布 服务 器 成 功 1” 的 提示 框 , 如 图 2-304 所 示 。 


图 2-304 删除 发 布 服务 器 成 功 


(8) 单 击 “ 确 定 ” 按 钮 ,返回 “十 发 布 服务 器 配置 ”列表 界面 ,已 没有 发 布 服务 器 的 信 
息 ,如 图 2-305 所 示 。 

(9) 进入 实验 平台 对 应 实验 拓扑 左 侧 的 PC 虚拟 机 ,如 图 2-306 所 示 。 

(10) 在 虚拟 机 桌面 上 ,双击 “首页 算 改 攻击 . bat” 的 快捷 方式 ,攻击 Web 服务 器 ,如 
图 2-307 所 示 。 

(11) 运行 攻击 程序 后 ,显示 攻击 成 功 的 页 面 ,如 图 2-308 所 示 。 

(12) 再 次 打开 火狐 浏览 器 ,刷新 “172. 16. 2. 10” 的 网 页 ,可 见 网 页 已 被 算 改 成 功 ,如 
图 2-309 所 示 。 
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主页 面 


十 点 布 服务 刷 自 得 


二” 系 统 配置 
网 阁 管 理 
服务 十 管理 
基础 对 得 
Web 防 护 
安全 情报 中 心 


访问 控制 


防护 服务 器 探测 
防护 服务 间 息 得 
防护 客户 端 下 载 
发 布 服务 器 探测 
发 布 服 务 器 配置 


2-305 已 删除 发 布 服务 器 


Bridgel1800:172.16.2.110 


GE3:bridge1800 


Web 服 务 器 : 172.16.2.10 


PC:110.69.70.100 管理 机 : 10.0.0.22/24 
GW:110.69.70.] (以 实际 IP 地 址 为 准 ) 


图 2-306 登录 左 侧 虚拟 机 
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cs CINDOVS\systenmi2 cad. exe 


图 2-307 运行 网 页 攻击 程序 


女 件 全 ) ” 辆 辑 伍 ) 查看 人 0 | 


http://1T2, 16. 2. 10/ 


d= | (11) | 172.16.2.10 


首页 复 改 攻击 成 功 ! 


2-309 ”首页 算 改 攻击 成 功 


(13) 综 上 所 述 , 在 防护 客户 端 和 发 布 客户 端 删除 后 ,外 网 用 户 可 对 Web 服务 需 进 行 
算 改 ,满足 预期 。 

【实验 思考 】 

(1) 如 果 防 自 改 功能 仅 使 用 发 布 服务 需 是 否 可 以 起 到 防护 作用 ? 

(2) 对 于 动态 网 页 是 否 可 以 实现 网 页 防 算 改 ? 
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第 3 童 
管理 与 分 析 


在 完成 Web 应 用 防火 墙 的 基本 配置 和 功能 外 ,还 需 掌握 Web 应 用 防火 墙 的 日 志 
析 , 通 过 日 志 分 析 获 取 Web 应 用 防火 墙 日 志 管理 和 攻击 溯源 分 析 的 信息 ,根据 获取 的 信 
息 对 Web 应 用 防火 墙 的 配置 进行 更 新 ， 从 而 达到 更 好 的 防护 效果 ， 

Web 应 用 防火 墙 日 志 管 理 与 分 析 实 验 包 括 日 志 备 份 及 恢复 .审计 日 志 管 理 以 及 Web 
攻击 溯源 分 析 三 个 实验 。 


3 1 Web 应 用 防火 墙 日 志 备 份 及 恢复 实验 


【实验 目的 】 
管理 员 通 过 配置 Web 应 用 防火 墙 的 备份 日 志 功 能 ,可 以 使 防火 墙 在 任何 时 间 恢 复 至 
备份 前 的 数据 状态 。 


【知识 点 了 】 
手动 备份 .月 动 备份 .备份 恢复 。 


【 场 票 摘 述 了 

安全 运 维 工程 师 小 王 在 对 徒弟 小 黄 进 行 Web 应 用 防火 墙 设 备 技术 培训 时 讲 到 了 日 
志和 备份 功 能 。 日 志 系 统 完整 地 记录 了 流 经 Web 应 用 防火 墙 设备 的 数据 信息 。 请 思考 应 
如 何 备份 Web 应 用 防火 墙 的 日 志 


【实验 原理 】 

在 Web 应 用 防火 墙 中 ,备份 日 志 的 方式 有 两 种 : 手工 备份 和 上 自动 备份 。 这 两 种 
备份 方式 都 可 以 有 效 地 保存 Web 应 用 防火 墙 当 下 的 数据 信息 ,不 同 的 是 ,自动 备份 
的 功能 更 强大 , 它 可 以 自动 定时 备份 日 志 的 时 间 。 管 理 员 可 以 单 击 “日 志 系 统 ” 一 
“备份 日 志 ”, 进 入 “十 备份 日 志 ” 界 面 后 ,选择 “手动 备份 ”或 “自动 备份 ”功能 ; 单 击 
“系统 配置 ”一 “备份 恢复 ”, 进 入 “十 备份 恢复 ”界面 后 ,导入 备份 文件 并 恢复 至 防火 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 


FE | 第 3 草 Web 应 用 防火 墙 日 志 管 理 与 分 析 ”FEE 


。 主机 终端 ，Windows Server 2003 SP1 主机 1 台 ,Windows XP SP3 主机 1 台 ， 
Windows 7 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 图 3-1 所 示 。 


PC:172.16.2.200 
管理 机 :; 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 
图 3-] Web 应 用 防火 墙 日 志 备 份 及 恢复 实验 拓扑 
【实验 思路 】 


(1) 手动 备份 日 志 。 

(2) 导出 日 志文 件 。 

(3) 实验 虚拟 机 访问 CMS 服务 器 网 站 。 
(4) 导 人 备份 文件 。 

(5) 恢复 备份 文件 记录 的 防火 墙 状态 。 


【实验 步骤 了】 

(1) 在 管理 机 本 地 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ?” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 单 击 面 板 左 侧 导 航 栏 中 的 
“日 志 系 统 ” 一 “备份 日 志 ”。 在 “备份 日 志 ” 界 面 中 , 单 击 “手工 备份 十 ”按钮 ,开始 备份 
Web 应 用 防火 墙 的 信息 ,如 图 3-2 所 示 。 

(3) 在 弹出 的 界面 中 ,显示 “备份 数据 库 成 功 ”, 如 图 3-3 所 示 。 

(4) 单 击 “确定 ”按钮 ,返回 “备份 日 志 ” 界 面 ,发 现 备份 记录 。 单 击 此 备份 文件 右 侧 
“操作 ” 列 的 “导出 ”按钮 ,导出 备份 文件 ,如 图 3-4 所 示 。 

(5) 在 弹出 的 “正在 打开 ...” 界 面 中 ,设置 保存 的 位 置 为 “桌面 ”, 如 图 3-5 所 示 。 

(6) 单 击 “确定 ”按钮 ,在 桌面 发 现 此 备份 文件 ,如 图 3-6 所 示 。 


【实验 预期 】 
导入 备份 文件 并 恢复 备份 ,防火 墙 恢 复 到 配置 前 的 状态 。 
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Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指导 IE 


态 admin 路 进出 


| i | [手工 从 4 | 自动 人 + 


探 作 


音 份 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 

网 页 防 复 改 日 志 


自 ， 分 析 圣 统 


nj 系统 该 断 


3-2 备份 Web 应 用 防火 墙 的 信息 


3-3 备份 成 功 


态 admin 中 退 出 
二 备份 日 志 | 局 新 心 ，| 手 工 备份 4 | 自动 各 份 + 


| | 者 份 闵 件 备份 时 间 操作 


站 | 20171103110515.db 2017-11-03 11:05:15 


公司 了 网址 : http:j fanwwJegendseccom 


图 3-4 导出 备份 文件 
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| 俐 渤 择 了 打开 : 

/ 名 20171103110515.db 
文件 尖 型 ，DB 文件 (14.5 KB) 
来 源 : https://192.168.1.40 


您 想 要 Firefox 如 何 处 理 此 文件 ? 


| we || ws 


图 3-5 设置 文件 的 保存 位 置 图 3-6 成 功 导出 备份 文件 
【实验 结果 】 


(1) 在 管理 机 本 地 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 在 面板 
界面 中 , 单 击 “ 主 界面 *->“ 系 统 信 息 ”。 在 “接口 实时 信息 ”界面 中 ,发 现 GE2 的 发 包 量 为 
31 ,如 图 3-7 所 示 。 


7 admin ”人 趾 退 出 


SECS 


V4.D(build 
6G.1.0.23203) 


ODay 
OO0:00:55 


内 存 利用 率 。 用 15% 


殿 应 | 商 


畦 征 库 版 本 


CPU 利 用 率 


已 用 日 志 分 区 


图 3-7 系统 信息 


(2) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 左 侧 的 PC, 进入 虚拟 机 ,如 图 3-8 所 示 。 
(3) 在 虚拟 机 打开 火狐 浏览 需 , 在 地 址 栏 中 输入 “172. 16. 2.100”, 成 功 访问 服务 器 网 
站 ,如 图 3-9 所 示 。 
(4) 切换 到 Web 应 用 防火 墙 界面 , 单 击 “ 主 界面 "一 “系统 信息 ”, 发 现 GE2 接口 的 发 
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| 


PC:172.16.2.200 Web 服 务 器 :172.16.2.100 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


3-8 进入 实验 虚拟 机 


女 件 但) 编辑 仁 ) 查看 WM) 爵 史 芒 ) 书 黎 虽 ) 工具 (I) 才 助 1) 


© | | 172.16.2.100 C ] QQ 搜索 


迪 迎 来 到 归 士 大 才 骤 统 ! [登录] [名 副 注册 ] 


FE 2% HR System 
a 
向 招聘 ”求职 信息 。 环 I 具 第 新闻 资 讯 。 会 员 中 心 ”进入 
当前 位 和 置 ， 网 站 首页 
搜索 职位 企业 总 敲 : 0 有 效 职 位 ，0 有效 简 成 人 0 会 
景 近 更 新 职 慢 写字 楼 


et 


3-9 访问 服务 天 网 站 


包 量 改变 了 , 变 为 930, 如 图 3-10 所 示 。 

(5) 单 击 面板 左 侧 的 “系统 配置 "一 “备份 恢复 ”。 在 “十 备份 恢复 ”界面 中 , 单 击 “ 导 
人 ”按钮 ,导入 备份 文件 。 注 意 ,可 以 事先 备份 当前 Web 应 用 防火 墙 设备 ,以 免 当 前 的 状 
态 无 法 恢复 ,如 图 3-11 所 示 。 

(6) 在 “ 导 人 ”界面 中 ,选择 刚才 导出 的 备份 文件 ,如 图 3-12 所 示 。 

(7) 单 击 “ 导 人 ”按钮 ,弹出 一 个 界面 ,显示 “上 传 文件 成 功 ”, 单 击 “ 确 定 ” 按 钮 ,返回 
“十 备份 恢复 ”界面 。 在 “十 备份 恢复 ”界面 中 ,发 现存 在 一 个 备份 文件 , 勾 选 它 , 单 击 “ 恢 
复 ” 按 钮 ,如 图 3-13 所 示 。 

(8) 在 “恢复 到 备份 点 ”界面 中 ,查看 恢复 的 信息 , 单 击 “ 恢 复 ” 按 钮 ,如 图 3-14 
所 示 。 


pp 


sa 第 3 和 齐 Web 应 用 防火 墙 日 志 管 理 与 分 析 ”ED 


古 admin ”但 诅 出 


SeCoOa 


WVd4OHbuild 
6.1.0.23203) 


ODay 
DO 


网 福 信 息 技 术 【 北 
京 ) 服从 有 限 公司 


特征 库 版 本 596 


亡 FU 利 用 率 


已 用 日 志 分 区 


3-10 查看 GE2 接口 发 包 量 


量 adimin [h 运 出 
| Ra | | 手工 各 份 4+ | | 启动 入 份 + 


操作 


图 3-11 导 人 备份 文件 


上 20171103110515.db 咏 重 冒 


3-12 设置 导 人 文件 


dd 
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a] 


坊 admin [只 退出 


二 备份 恢 香 区 ES ES 


[wo 20171103132622-import.db 2017-11-03 13:26:22 导出 用 


图 3-13 备份 恢复 


20171103132622-import.dt 
2017-11-03 13:26:22 


恢复 图 | 取消 守 


3-14 恢复 到 备份 点 界面 


(9) 过 段 时 间 , Web 应 用 防火 墙 恢复 数据 并 返回 登录 界面 。 输 入 管理 员 用 户 和 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 的 “ 主 界 
面 ”~>“ 系 统 信 息 ”, 发 现 GE2 接口 的 发 包 量 已 经 变化 了 。 因 为 实验 平台 是 开启 着 的 ,虚拟 
机 还 会 和 CMS 服务 器 通信 来 维持 连接 ,所 以 这 里 的 发 包 量 和 开始 时 的 不 一 样 ,但 数量 基 
本 一 致 ,说 明 配 置 成 功 , 如 图 3-15 所 示 。 


量 admin ”全 退 出 


Ses 


软 性 版 本 Wa.Drbuild 
G10.23203) 


至 撤 运 行 时 间 。 0Day 
01:14 
甸 芋 础 对 条 
内 9 利 有 RB 字 上 
】 Web 护 护 
网 祁 信 息 技术 【『 冰 
安全 情 氢 中心 京 | 股份 有 限 公 司 


虽 ”访问 控制 S 65.05 


-hh 
中 网 硬 肪 香 履 图 


局 ”扫描 器 


年 “DCDos 防 护 


图 3-15 ”恢复 到 之 前 的 状态 
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【实验 思考 】 
(1) 怎样 设置 可 以 自动 备份 数据 ? 
(2) 怎样 设置 使 得 系统 可 以 每 月 备份 一 次 数据 ? 


【实验 目的 】 

管理 员 通 过 查看 Web 应 用 防火 墙 的 审计 日 志 能 够 了 解 登录 Web 应 用 防火 墙 的 主机 
源 IP 地 址 、 登 录 方 式 、 登 录 人 员 对 Web 应 用 防火 墙 操作 的 内 容 以 及 该 操作 内 容 的 具体 
时 间 。 

管理 员 通 过 查看 Web 应 用 防火 墙 的 访问 日 志 能 够 了 解 访问 发 生 的 日 志 、 时 间 、 源 
IP、 源 端口 .站 点 域名 /PP .目的 URL 等 信息 。 


【知识 点 】 

审计 日 志 、 访 问 日 志 。 

【 场 票 摘 述 了 

近日 ,领导 要 求 安 全 运 维 工程 师 小 王 关注 一 下 最 近 都 有 什么 人 员 登 录 Web 应 用 防火 
墙 , 以 免 一 些 未 授权 的 用 户 非法 登录 设备 。 另 外 还 需要 查看 一 下 Web 服务 器 的 访问 情 
况 。 请 思考 应 如 何 操作 。 


【实验 原理 】 

审计 日 志 主 要 用 来 记录 操作 员 的 登录 方式 、 源 IP 地 址 、 操 作 内 容 以 及 进行 该 操作 内 
容 的 具体 时 间 , 系 统 支持 分 页 查看 ,并 按照 时 间 先 后 自动 排序 。 访 问 日 志 主 要 用 来 记录 访 
问 发 生 的 日 期 和 时 间 、 源 IP 和 源 端口 站 点 域名 /IP、 目 的 URL 和 参数 ,系统 支持 分 页 查 
看 ,并 按照 时 间 先 后 自动 排序 。 管 理 员 可 在 “日 志 系 统 ” 中 查看 审计 日 志和 访问 日 志 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 

。 主机 终 顺 : Kali 2.0 主机 1 台 ,Windows 2003 SP2 主机 1 台 , Windows 7 主机 


1 


【实验 拓扑 】 
实验 拓扑 如 图 3-16 所 示 。 
【实验 思路 】 
(1) 添加 Web 防护 规则 。 
(2) 添加 Web 防护 模板 ,引用 防护 规则 。 
(3) 添加 Web 防护 策略 ,引用 防护 模板 。 
(4) 清空 访问 日 志 
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PC:172.16.2.200 


管理 机 : 10.0.0.*/24 
(以 实际 PP 地址 为 准 ) 


图 3-16 Web 应 用 防火 墙 审计 日 志 管 理 实验 拓扑 


(5) 添加 审计 日 志 。 


【实验 步骤 了 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin , 单 击 “登录 ?按钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设 备 后 ,会 显示 它 的 面板 界面 。 单 击 面板 左 侧 导航 栏 中 的 
“网 络 管理 ”一 网 络 接口 ?, 单 击 “ 网 桥接 口 ?。 在 “网 桥接 口 ? 界 面 中 , 单 击 “增加 十 ”按钮 ， 
增加 网 桥接 口 。 

(3) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(5) 单 击 上 方 的 “十 Port 接口 ?。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(6) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 他 保持 默认 配置 。 

(7) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 ,在 “Port 接 
口 ? 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridgel2, 其 
他 保持 默认 配置 。 

(8) 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ?按钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 .GE3 的 配置 信息 。 

(9) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 "一 “普通 服务 器 管理 ,在 “HTTP 服务 
器 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 服务 器 。 

(10) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16. 2. 100/24”,“ 端 口 ” 为 80 ,设置 “部 署 模 式 ” 为 “串联 ”, “防护 模式 ”为 “代理 模 
式 ”,“ 接 口 ” 为 bridgel12, 勾 选 “ 局 用 ” 复 选 框 。 

(11) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
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服务 器 ”界面 ,返回 “HTTP 服务 器 ”列表 界面 ,可 见 已 添加 的 HTTP 服务 器 信 息 。 

(12) 单 击 面 板 左 侧 导 航 栏 中 的 “Web 防护 ”一 “Web 防护 模板 ”, 在 “Web 防护 模板 ” 
界面 中 单 击 “添加 十 ”按钮 ,添加 防护 模板 。 

(13) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “防护 模板 ”, 其 他 保持 默认 
配置 。 

(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 ,检查 增加 的 防护 模板 。 

(15) 单 击 面 板 左 侧 导 航 栏 中 的 “Web 防护 ”一 “Web 防护 策略 ”, 在 “Web 防护 策略 ” 
界面 中 , 单 击 “增加 十 ”按钮 ,增加 防护 策略 。 

(16) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “防护 策略 ”, 将 “Web 防护 模板 ” 
设置 为 “防护 模板 ”,“ 访 问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(17) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 ,可 见 添加 的 防护 策略 。 

(18) 单 击 面 板 左 侧 导 航 栏 中 的 “日 志 系 统 ” 一 “访问 日 志 ”, 在 “访问 日 志 ” 界 面 中 , 单 
击 “ 清 空 ”按钮 ,清空 日 志 , 如 图 3-17 所 示 。 


品 admin 只 授 山 


闫 ”主页 面 二 访问 日 去 Ey | sa x | ms 


于 对 统 可 置 每 页 显 韦 15 = 


引 网络 管理 日 期 和 时 间 源 IP 诬 站 点 域名 /IP 目的 URL 方法 


i 2017-11-30 D8,, 172.16.2.200 1 i215.2,.100 us 区 ce ET 
加 “服务 器 管理 a 
2017-11-30 D8,,, 172.,16.2,200 i216.2,100 tplusralax CD ET 


起 ”基础 对 条 


2017-11-30 08... 172.16.2.200 172.16.2.100 JPlusyAalaz use... GET 


| | 
[i WL WL 


”Wab 防 护 2017-11-30 D8..,. 172.16.2.200 172.16.2.100 到 GET 


a 当前 1 - 4 , 总 共 4 要 记 录 
加 ”访问 控制 

四 ”网 页 防 算 改 

QQ 扫描 器 

丰 DDosS 防 护 


十 网 站 云 防护 


备份 日 志 
审计 日 志 
芒 问 日 志 
攻击 日 志 
DDos 日 志 


图 3-17 清空 日 志 


(19) 在 弹出 的 确定 界面 中 单 击 OK 按钮 ,在 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 
“访问 日 志 ” 界 面 中 ,可 见 所 有 日 志 已 经 被 清空 ,如 图 3-18 所 示 。 
(20) ER 系统 ”一 ”审计 日 志 ”, 在 “审计 日 志 ? 界 面 中 , 单 
击 “ 清 空 ?按钮 ,清空 日 志 , 如 图 3-19 所 示 。 
(21) 在 弹出 的 确定 界面 中 单 击 OK 按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 
sa 
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各 admin ”人吉 退出 


+ 访问 日 志 |s42 | PE | sa | 上 


每 页 显示 15 二 


| | 日 期 和 时 间 源 IP 
渤 有 榨 壹 引 店 [ 巷 


疹 愉 日 志 
审计 日 志 
访问 日 志 
孜 击 明志 
DDos 日 志 


图 3-18 “访问 日 志 ? 筑 面 


夯 admn 加 运 出 


[st* Ir | Sa x | | mi 


日 期 和 时间 源 [P 
2017-11-30 0ge0 二 102.168.33.80 
2017-11-30 09:0.. 192.168.33.89 
加 县 笛 计 汝 2017-11-30 09-0..， 用 192.168.33.89 
人 2017-11-30 09.0.。 系统 管理 192.168.33.89 


安全 售 摄 中心 当前 1 - 4 ,总共 4 沦 记 录 


引 “访问 控制 


网 页 防 复 改 


-扫描 器 


DDos 防 护 


网 站 云 防护 


备份 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 


3-19 ”清空 日 志 


钮 ,返回 "审计 日 志 ?” 界 面 , 可 见 除 了 本 次 登录 的 一 条 日 志保 留 着 ,其 他 日 志 记 录 已 经 被 删 
除 ,如 图 3-20 所 示 。 
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也 admin 中 让 出 


十 审计 日 志 ESAIE SA EEE 


每 而 显示 | 15 "* 
| 日 期 和 时 间 操作 员 角 色 操作 员 操作 内 容 
引 服务 路 富 理 | | 2017-11-30 09:0.， 圣 统管 理 员 admin 192.,168.33.89 深 必 日 志 
站 二 础 对 名 当前 1 - 1, 总 共 1 条 记录 
J Web 防 护 

实 全 情报 中 心 
号 ”访问 控制 
I 网 页 防 算 玫 


4 扫描 器 


备份 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 


图 3-20 “和 审计 日 志 ” 界 面 


【实验 预期 】 

查看 审计 日 志和 访问 日 志 。 

【实验 结果 了 

1) 查看 审计 日 志 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 口令 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 在 面板 
界面 中 , 单 击 左 侧 导航 栏 中 的 “日志 系统 ”审计 日 志 ”。 在 “审计 日 志 ” 界 面 中 ,可 见 登 录 
Web 应 用 防火 墙 设备 的 人 员 的 信息 ,如 图 3-21 所 示 。 

(2) 双击 选中 的 日 志 , 可 见 详细 信息 :“ 操 作 员 ”为 admin,“ 源 IP” 为 “192. 168. 33. 89” 
(此 处 IP 地 址 仪 为 示例 ,请 以 实际 了 了 地 址 为 准 , 此 处 IP 即 为 登录 管理 Web 应 用 防火 墙 
设备 的 学 生机 的 了 了 地 址 ) 等 , 单 击 “ 细 节 ” 右 上 和 角 的 “X ”按钮 ,返回 “审计 日 志 ” 界 面 ,符合 
预期 要 求 , 如 图 3-22 所 示 。 

2) 查看 访问 日 志 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 3-23 所 示 。 

(2) 如 需 输入 登录 密码 , 则 输入 123456。 在 虚拟 机 打开 终端 ,如 图 3-24 所 示 。 


229 


Egg Web 应 用 防火 墙 技 术 及 应 用 实验 指导 IE 


硬 admin 中 退出 


[se |Ez2 | |sux |e 


[| 2017-11-30 09:2..， 系 蚁 管理 员 1 192,1658.33,69 者 作 日 志 


当前 工 - 2 , 总 拱 2 条 记录 


些 份 日 志 
亩 计 日 志 
访问 日 志 
束 击 日 志 
DDeos 日 志 


图 3-21 查看 审计 日 志 


讳 


细节 
日 专 洋 绍 信 息 : 
操作 时 间 2017-11-30 09:25:13 


抬 作 员 和 角色 系统 管 玛 员 EL admin 

登录 方式 WEB | 192,168.33.89 
模块 标识 日 志 配 置 志 通知 

反 作 内 容 


图 3-22 查看 日 志 详 细 信 息 


Web 中 ，172.16.2.100 
PC:172.16.2.200 服务 如 


GE1:10.0.0.1/24 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 3-23 登录 左 侧 虚 拟 机 
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应 用 程序 也 生 ~ 


图 3-24 打开 终端 


(3) 在 终端 中 ,输入 命令 firefox 并 按 Enter 键 ,打开 火狐 浏览 器 ,如 图 3-25 所 示 。 


root@ kali: = 


终端 (T) 藤 助 (H) 


GLib= CRITICAL **: gq slice set _ config: assertion ” sys_pa 


图 3-25 打开 火狐 浏览 器 


(4) 在 浏览 器 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 “172. 16. 2. 100” ,成 功 访问 Web 
服务 器 网 站 首页 ,如 图 3-26 所 示 。 

(5) 在 管理 机 打开 浏览 部 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 “日 志 系 统 盖 ”访问 日 志 ”, 可 见 产 生 的 访问 日 志 , 如 图 3-27 所 示 。 


(6) 双击 选中 的 日 志 。 在 “细节 ”界面 中 ,可 见 详细 信息 :“ 访 问 目标 ”为 “172. 16. 2. 
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而 招聘 信息 微 招聘 或 要 人 信息 HR 工具 稍 新 闻 资 讯 研 员 中 心 
前 值 置 : 网 丫 首 页 


搜索 职位 企业 总 酸 : 0 ”有 刚 镍 位 : 0 有效 第 历 : | 
| 扫 职 位 
执 门 美 键 字 '; 销售 代 吉 ”外 上 普 经 理 合计 萌 此 工程 师 销 此 助理 
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图 3-26 ”登录 服务 器 网 站 首页 


蒿 ajmin 扑通 出 


+ 访问 日 志 [te |=e» |3ux [Bre | 
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访问 日 志 
攻击 日 志 
CBoS 日 志 

网 页 访 九 收 日 志 
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3-27 产生 访问 日 志 


100”,“ 方 法 ”为 GET 等 。 单 击 右 上 方 的 *“X” 按 钮 ,返回 “访问 日 志 ” 界 面 ,符合 预期 要 求 ， 
如 图 3-28 所 示 。 
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访问 时 间 :2017-11-30 09:26:45 


访问 者 访问 目标 
172.16.220047809 172.16.2.100 


GET 数据 六 小 [ 字 廊 ]】 472 
plusiajax_common.phpract=company_down_resume 
其 他 

其 他 

其 他 

对 方 和 您 在 同一 内 部 网 


图 3-28 “细节 ”表面 


【实验 思考 】 
如 何 操作 可 以 导出 访问 日 志 ? 


”3.3 Web 应 用 防火 墙 Web 攻击 溯源 分 析 实 给 


【实验 目的 】 

管理 员 可 以 查看 日 志 系 统 中 的 攻击 日 志 以 及 DDoS 日 志 , 了解 攻击 发 生 时 间 、 人 侵 
IP、 入 侵 端 口 .被 攻击 IP 和 被 攻击 端口 等 信息 。 

【知识 点 】 

攻击 日 志 、.DDos 日 志 。 

【场景 拉 述 了】 


安全 运 维 工程 师 小 王 在 Web 应 用 防火 墙 上 发 现 有 亚 意 攻击 者 对 Web 服务 器 进行 疏 
时 和 HTTP Flood 的 攻击 的 迹象 ,他 想 了 解 攻击 者 的 攻击 信息 ,请 思考 应 如 何 操作 。 

【实验 原理 】 

攻击 日 志 主 要 用 来 记录 各 类 攻击 发 生 的 日 期 和 时 间 、 源 IP 和 源 端 口 、 站 点 域名 /IP、 
目的 URL、 参 数 、 方 法 ,攻击 类 型 和 攻击 域 ,系统 支持 分 页 查看 ,并 按照 时 间 先 后 自动 
排序 。 

DDos 日 志 主 要 用 来 记录 DDoSs 攻击 发 生 的 日 期 和 时 间 、 人 侵 IP、 和 人 入侵 端口 .被 攻击 
IP 和 被 攻击 端口 ,系统 支持 分 页 查看 ,并 按照 时 间 先 后 自动 排序 。 

【实验 设备 】 

。 安全 设备 : Web 应 用 防火 墙 设备 1 台 。 
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。 主机 终端 :， Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 1 台 ,Windows7 
主机 1 台 。 


【实验 拓扑 了 
实验 拓扑 如 图 3-29 所 示 。 


PC:172.16.2.200 


Web 服 务 器 : 172.16.2.100 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 3-29 Web 应 用 防火 墙 Web 攻击 调 源 分 析 实 验 拓扑 


【实验 思路 】 

(1) 添加 HTTP 防护 规则 。 

(2) 添加 HTTP 防护 模板 ,引用 HTTP 防护 规则 。 

(3) 添加 HTTP 防护 策略 ,引用 HTTP 防护 模板 。 

(4) 添加 爬虫 防护 规则 。 

(5) 添加 疏 虫 防护 模板 ,引用 故 虫 防护 规则 。 

(6) 添加 朴 虫 防护 策略 ,引用 故 虫 防护 模板 。 

【实验 步骤 了 】 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin , 单 击 “登录 ”按钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设备 后 ,会 显示 它 的 面板 界面 。 

(3) 单 击 面板 左 侧 导航 栏 中 的 “网 络 管理 ”一 “网 络 接口 ”, 单 击 “ 网 桥接 口 ”。 

(4) 在 "增加 网 桥接 口 ? 界 面 中 , 除 默认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 12 ,其 他 保持 默认 配置 。 

(5) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 完 
成 ”按钮 ,添加 网 桥接 口 。 

(6) 单 击 上 方 的 “十 Port 接口 ?"。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(7) 在 “编辑 Port 接口 "界面 中 ,设置 “网 桥接 口 ” 为 bridge12 ,其 他 保持 默认 配置 。 

(8) 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 同 样 , 在 “Port 接 
口 ” 界 面 中 ,双击 GE3 接口 。 在 “编辑 Port 接口 ”界面 中 ,设置 “网 桥接 口 ”为 bridgel2, 其 
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他 保持 默认 配置 。 

(9) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 Port 接口 ” 
界面 中 ,检查 GE2、GE3 的 配置 信息 。 

(10) 单 击 面板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “普通 服务 器 管理 ”, 单 击 上 方 的 
“HTTP 服务 右 ”*。 在 “HTTP 服务 顺 ” 界 面 中 , 单 击 " 增 加 十 ?按钮 ,增加 服务 需 。 

(11) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16.2.100/24”,“ 端 口 ”为 80, 设 置 "部 署 模式 ”为 串联”， 防 护 模式 ”为 “代理 模 
式 ”, 接 口 ?为 bridgel2, 勾 选 “ 启 用 ” 复 选 框 。 

(12) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 HTTP 
服务 右 ” 界 面 ,返回 “HTTP 服务 天 ?列表 界面 ,检查 已 添加 的 HTTP 服务 各 信息 。 

(13) 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 规则 ”, 选 择 "HTTP 防护 
规则 ”。 在 “HTTP Flood 攻击 防护 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,如 图 3-30 所 示 。 


有 ”Web 防护 中 HTTB Floed 了 牙 寺 防护 中 CC 下 击 防 护 


十 “去 诗 情 报 中 心 [ 天 入 


| 二 
品 ”访问 寺 制 LU HTTP Flooding Cefault 
罗网 页 防护 玖 


叫 ， 扫 手 品 


DDos 防 护 第 睹 

COos 防 护 模 标 

DDos 防 护 规 则 
IP 防 护 规 则 
TCR 防护 规则 
UDP 防 护 规 则 
HTTP 人 防护 规则 


十 ”网 站 云 防护 
局 日 志 系 统 
向 。 注 析 对 六 


系统 诊断 


图 3-30 ”增加 UDP 防护 规则 


(14) 在 “增加 HTTP Flood 攻击 防护 规则 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 规 
则 ”, 如 图 3-31 所 示 。 


增加 HTTP Flood 攻 击 防 护 规则 


名 称 * HTTP 防 护 规则 


图 3-31 “增加 HTTP Flood 攻击 防护 规则 ”界面 


(15) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 HTTP 
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Flood 攻击 防护 规则 ”界面 , 单 击 “ 增 加 十 ”按钮 ,增加 防护 规则 ,如 图 3-32 所 示 ，。 


增加 HTTP Flood 攻 击 防 护 规 则 


名 称 HTTP 防 护 规则 


_，Web 主 机 
没有 检索 到 数据 


图 3-32 ”增加 防护 规则 


(16) 在 “增加 HTTP Flood 攻击 防护 规则 条 目 ” 界 面 中 ,将 “处 理 动 作 ” 设 置 为 “ 封 
禁 ”, 其 他 保持 默认 配置 ,如 图 3-33 所 示 。 


增加 HTTP Flood 攻击 防护 规则 条 和 目 


Web 主 机 名 -- 请 输入 或 选择 -- 


(0~10000) 
处 理 动 作 
封 荣 时 间 | | (5-7200) 秒 


严重 级 别 


告警 设置 | | 邮件 | | 短信 
日 志 I 


全 局 限 速 单 IP 限 加 单 连接 限 速 
Get 请 求 全 


图 3-33 设置 防护 规则 条 目 


(17) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 HTTP 
Flood 攻击 防护 规则 ”界面 , 单 击 “保存 ”按钮 ,在 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 
“HTTP Flood 攻击 防护 ”界面 ,可 见 增加 的 防护 规则 ,如 图 3-34 所 示 。 

(18) 依次 单 击 “DDoS 防护 ”>“DDoS 防护 模板 ”, 在 "DDoS 防护 模板 ?界面 中 , 单 击 
“增加 十 ”按钮 ,增加 防护 模板 ,如 图 3-35 所 示 。 

(19) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 模板 ”, 将 “类 型 ” 
设置 为 "HTTP 防护 ”, 单 击 “HTTP 防护 规则 ?标签 页 “HTTP Flood 攻击 防护 规则 ” 设 
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Web 防护 
十 安全 情报 中 心 
另 访问 控制 
四 ”网 页 防 曹 必 


已， 扫 扬 器 


CCDos 防 护 策 酷 
DDas 防 护 模 板 
DDos 防 护 规 则 
JR 防护 规则 
TP 防护 规则 
UDP 防 护 规 则 
HTTR 防 牛 规 则 
上 网站 未 防护 
局 ”日志 系统 


府 。 分 析 系 统 


向 系统 褒 断 


DDos 防 护 每 格 

DDaos 隧 护 模 株 

DDos 防 护 规 则 
”网 站 云 防护 


局 日 去 系统 


自 。 分 析 禾 娃 


J 系统 庄 断 


置 为 “HTTP 防护 规则 ”, 其 他 保持 默认 配置 ,如 图 3-36 所 示 。 


中 HTTP Flood 焉 击 防护 下 《CE 焉 击 防护 


HTTP Fleoding Default 


HTTP 防 护 规 则 | 


| 名 称 
[ | | Met Default 


| | HTTF Default 


3-34 成功 增加 HTTP 防护 规则 


二 DDos 防 护 樟 极 


图 3-35 ”增加 防护 模板 


归 如 引 rnin 


[tn+ | eo 


[LE 


(20) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “DDoS 防护 
模板 ”界面 ,可 见 增加 的 防护 模板 ,如 图 3-37 所 示 。 
(21) 单 击 “DDoS 防护 ”一 “DDoS 防护 策略 ”, 在 ”DDoS 防护 策略 ”界面 中 单 击 “增加 
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备注 
IP 防 护 规则 。 ”TCP 防护 规则 HTTP 防护 规则 


HTTP Flood 攻 击 防护 规则 HTTP 防 护 规则 


CC 攻击 防护 规则 空 


到 3-36 “增加 DDoS 防护 模板 ”界面 


忆 网 比 管 理 于 CDos 防 护 柱 板 | 增加 和 十 | 刷新 品 
和 5 豆 副 对 条 | Net Default 
| HTTP CDefault 


ee Hp HTPiip | 


十 ”安全 情报 中 心 
四 ”访问 控制 
全 ”网 页 防 其 改 


口 ， 扫 手 品 


DDos 防 护 营 路 
CDaos 防 护 模 株 
DDas 随 护 规 刚 


十 网 站 云 防护 


届 日 志 系 烧 


由。 分 析 系 统 


1 系统 座 断 


图 3-37 成 功 增加 防护 模板 


十 ”按钮 ,增加 防护 策略 ,如 图 3-38 所 示 。 
(22) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 策略 ”, 将 “服务 
锻 ” 设 置 为 “测试 服务 器 ”, 将 “DDoS 防护 模板 ”设置 为 “HTTP 防护 模板 ”, 其 他 保持 默认 
配置 ,如 图 3-39 所 示 。 
(23) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
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状 主页 面 
6 东 统 配置 

马 ”网络 乱 理 

3 服务 占 管 理 
禄 基础 对 多 

| Web 防 护 

F- ”安全 情报 中 心 
四 ”访问 控制 
四 ”网 而 防 曹 下 


-中 要 挤 兢 


DDaos 防 护 禹 酷 
DDos 防 护 族 板 
DDas 防 护 规 则 


网 站 云 防 护 
上 日 志 系 统 
分析 系 统 


本 系统 读 世 


中 口 Bos 防 护 策 临 


名称 
没有 栏 索 到 淹 呢 


增加 DDoSs 防 护 策 酷 


3-39 


3-38 增加 防护 策略 


HTTP 防 护 策 略 
浏 款 服务 冀 
3 


HTTP 防 护 模板 


0 (0~10000) 


dl 


“增加 DDoS 防护 策略 ”界面 


策略 ?界面 ,可 见 增加 的 防护 策略 ,如 图 3-40 所 示 。 

(24) 单 击 面板 左 侧 导 航 栏 中 的 “基础 对 象 ?> 一 “URL 列表 ”, 在 “URL 列表 ”界面 中 ， 
单 击 “ 增 加 十 ”按钮 ,增加 URL 列表 对 象 ,如 图 3-41 所 示 。 

(25) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “172. 16. 2. 100”, 其 他 保持 默认 配 
置 ,如 图 3-42 所 示 。 

(26) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 URL 
列表 ”界面 , 单 击 “增加 ”按钮 ,如 图 3-43 所 示 。 
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坊 admin 壁 姐 出 


十 DDos 防 护 策 虞 Sin+ | | Bi 


| 名 你 | DDoS 防护 模板 优先 级 
| | HTTP 陆 护 靠 略 i HTTP 访 护 梯 板 


DDos 防 护 


DODOos 防 护 筑 睹 
DDOo5 咏 护林 板 
上 Do 防护 规 则 


十 网 站 云 防护 
日志 系 统 
自 。 分 析 系统 


对 纺 玩 断 


图 3-40 成功 增加 防护 策略 


时 admin 员 退出 


十 URL 列 表 E+ | mc 


| 名 称 动作 
没有 榨 案 到 数据 


和 Web 主机 
JP 到 到 
URL 列 老 


Web 防 护 
安全 情报 中 心 
访问 控制 
网 页 防 自 改 
扫 搞 嘻 
DCos 防 护 


网 站 三 防护 


QW 
中 
8 
© 
Q 
中 
+ 
= 


日 志 系 统 


了 


分 怕 系 统 


3-41 增加 URL 列表 对 象 
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增加 URL 人 列表 


名 称 “ 172.16.2.100 


动作 匹配 


图 3-42 “增加 URL 列表 ”界面 


增加 URL 列 表 


名 称 “ 172.16.2.100 


动作 匹配 


| mi 


没有 检索 着 数据 


图 3-43 ”增加 URL 对 象 


(27) 在 “增加 URL” 界 面 中 ,输入 URL 为 “172. 16. 2. 100”, 其 他 保持 默认 配置 , 如 
图 3-44 所 示 。 


增加 URL 


匹配 


172.16.2.100 


ge | wo 


图 3-44 “增加 URL” 界 面 


(28) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “URL 列 
表 ”, 可见 增加 的 URL 列表 对 象 ,如 图 3-45 所 示 。 

(29) 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ?一 "Web 防护 规则 ”, 选 择 “ 息 虫 防护 规 
则 ”。 在 “ 扑 忠 防护 规则 ”界面 中 , 单 击 “ 增 加 十 ”按钮 。 

(30) 在 “增加 疏 虫 防护 规则 ?界面 中 ,在 “名 称 ?” 中 输入 “ 疏 虫 防护 规则 ”。 

(31) 单 击 * 保 存 ? 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ?按钮 ,返回 “增加 爬虫 防 
护 规则 ?界面 , 单 击 “增加 十 ?按钮 ,增加 防护 条 目 , 如 图 3-46 所 示 。 

(32) 在 “增加 故 虫 防护 规则 条 目 ? 界 面 中 ,将 "看 虫 防护 URL ”设置 为 "172. 16. 2. 100”， 
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二 admin 加 了 是 出 


十 URL 列 志 [mt |eie 


_ |」 名 称 动作 


[11721652100 匹配 | 


Web 主 机 
JP 到 者 
URL 肥 到 


各 Web 防护 
十 安全 情报 中 心 
蛋 ”访问 持 制 

四 ”网 页 防 得 改 
口 ” 扫描 器 

灾 DDos 防 护 
十 ”网 站 云 防护 
时 ”日志 系 统 


再 分 析 系 统 


图 3-45 成功 增加 URL 列表 对 象 
增加 慌 虫 防护 规则 
名 称 “ 息 忠 防护 规则 
EZ 


URL 处 理 动作 “封禁 时 间 。 严重 级 别 “告警 设置 
没有 检索 到 数据 


图 3-46 ”增加 防护 条 目 


将 “处 理 动 作 ” 设 置 为 “封禁 ”, 其 他 保持 默认 配置 ,如 图 3-47 所 示 。 

(33) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 , 单 击 “ 确 定 ” 按 钮 ,返回 “增加 扑 忠 
防护 规则 ?界面 , 单 击 * 保 存 ? 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 按钮, 返回“ 疏 里 
防护 规则 ?界面 ,检查 增加 的 爬虫 防护 规则 。 

(34) 单 击 “Web 防护 ”>“Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 。 

(35) 在 “增加 Web 防护 模板 ”界面 中 ,输入 "名称 ?为 “爬虫 防护 模板 ”, 将 “ 疏 虫 防护 
规则 ?设置 为 “ 讨 虫 防护 规则 ,其 他 保持 默认 配置 。 

(36) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 "Web 防护 模 
板 ” 界 面 , 检 查 增 加 的 防护 模板 。 
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编辑 爬虫 防护 规则 条 目 


有 息 虫 防护 URL 172.16.2.100 


处 理 动 作 
严重 级 别 
告 营 设置 
日 志 


启用 


图 3-47 “增加 疏 虫 防护 规则 条 目 ” 界 面 


(37) 单 击 “Web 防护 ”一 ”Web 防护 策略 ”, 在 “Web 防护 策略 ?界面 中 , 单 击 “增加 十 ” 
按钮 ,增加 防护 策略 。 

(38) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “ 息 虫 防护 策略 ”, 将 “Web 防护 
模板 ”设置 为 “ 疏 虫 防护 模板 ,将 “访问 上 日志? 设置 为 “开启 ”, 其 他 保持 默认 配置 。 

(39) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 Web 防护 策 
略 ” 界 面 , 检 查 增加 的 防护 策略 ,完成 配置 。 


【实验 预期 】 
产生 攻击 日 志和 DDoS 日 志 。 
【实验 结果 了】 


1) 产生 DDoS 日 志 
(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 3-48 所 示 。 


PC:172.16.2.200 Web 服 务 器 ， 172.16.2.100 


管理 机 ， 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 3-48 登录 左 侧 虚 拟 机 


(2) 在 虚拟 机 双击 桌面 的 LOIC. exe, 在 软件 界面 中 ,输入 IP 为 “172. 16. 2. 100? , 单 
击 IP 右 侧 的 “Lock on”,Method 设置 为 HTTP, 输 入 Threads 为 1000 ,取消 匀 选 右 侧 的 
“Wait for reply” 复 选 框 ,其 他 保存 默认 配置 ,如 图 3-49 所 示 。 
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围 Low Drhit Ion Cannon | When harpoons, air strikes and nukes fails | vw. 1.0.8.0 国 国 | 


IMMA CHARGIN MAH LAAER 


172.10.2.100 


ICP 7 LDP message 


& eal ls fre lon. Desurdesudesue 


Praetox:com 


图 3-49 ”LOIC 界面 


(3) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 HTTP 攻击 ,如 图 3-50 
所 示 。 


国 Log Drbit Ion Cannon | When harpoons, air strikes and nkes fails | s. 1.0.8.0 


172.16.2.100 


Tp 1 UD ma | 


a cat EB fine too, DesuesLdss us 


图 3-50 ”开始 HTTP 攻击 


(4) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 全 地 址 “https://10. 
0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 板 左 侧 导航 栏 中 的 
“日 志 系 统一 “DDoS 日 志 ”。 在 “DDoS 日 志 ” 界 面 中 ,可 见 HTTP 策略 处 理 的 数据 包 记 录 ， 
如 图 3-51 所 示 。 

(5) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 
HTTPFlood,“DDoS 防护 策略 ”为 “HTTP 防护 策略 ?等 ,符合 预期 要 求 , 如 图 3-52 
所 示 。 
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态 admin 加 退 出 


Web 防 护 + DDoS 日志 |s* | |sux |asie 


安全 情 抠 中 心 


中 ”访问 持 制 图 对 让 i 被 攻击 IP wm 协 该 类 理 ”攻击 类 型 


. 172.16.2.100 
网 页 防 第 性 
2017-12-08 1... .72.16.2.200 172.16.2.100 HTTP Fload 


扫描 路 2017-12-08 1... | 172.16.2.100 HTTP Flood 


DDos 防 护 当前 1 - 3, 总 共 3 条 记录 


网 站 云 防护 


督 份 日 志 

南 计 日 志 

访问 日 志 

攻击 日 志 
DD6s 日 志 

网 页 防 算 改 日 志 


内。 分 析 系 统 


mi 系统 诊断 


3-51 “DDoS 日 志 ” 卉 面 


日 志 话 细 依 息 


拦截 时 间 :2017-12-08 10:05:17 


攻击 者 攻击 目标 
1712.16.2.200:5000 172.16.2.100:80 


DDos 防 护 第 略 HTTP 防 护 策 略 
CDos 防 护 规则 HTTP Flocd 击 防 近 -HTTP 防护 规则 | 
处 理 动 作 封禁 严重 级 别 | 中 级 


协议 涯 型 TCP 攻击 类 型 HTTP Flood 
国家 其 他 

省 份 其 他 

城市 其 他 

区 域 对 方 和 您 在 同一 内 部 网 


图 3-52 “ 细 市 ” 宪 面 


2) 产生 攻击 日 志 

(1) 登录 实验 平台 中 对 应 实验 拓扑 左 侧 的 PC, 进入 虚拟 机 ,如 图 3-53 所 示 。 

(2) 在 虚拟 机 双击 桌面 的 “Burp Suite Free Edition”, 在 “Burp Suite Free Edition” 界 
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PC:172.16.2.200 Web 服 务 器 ;172.16.2.100 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


图 3-53 ”登录 左 侧 虚拟 机 


面 中 , 单 击 “I Accept” 按 钮 ,如 果 提 示 需 要 输入 license key ,请 修改 系统 时 间 , 调 整 至 2017 
年 5 月 1 日 ,然后 单 击 Next 按钮 。 

(3) 在 “Burp Suite Free Edition v1.7.27” 界 面 中 , 单 击 “Start Burp” 按 钮 ,如 图 3-54 
所 示 。 


3 同上 回回 


kg | Select the configuration that you vould like to load for this project. 全 W | | | F 


EE Use Burp defaults 


Use options saved wrth project 


0 Loadfrom configuration file File | 


[) Deiault to the abowe im future 


回 Disable extensions 


图 3-54 “Burp Suite Free Edition vl. 7.27” 界 面 


(4) 双击 果 面 的 Mozilla Firefox”, 打 开火 狐 训 览 需 ,如 图 3-55 所 示 。 

(5) 在 火狐 浏览 关中 , 单 击 右 侧 的 下 拉 框 , 单 击 “选项 "按钮 。 在 “选项 ”页 面 中 , 单 击 
左 侧 导航 栏 最 下 边 图 标 ,再 选择 上 方 的 “网 络 ”, 单 击 “ 设 置 ?按钮 。 

(6) 在 “连接 设置 ?界面 中 , 勾 选 手动 配置 代理 ”, 在 “HTTP 代理 ? 行 中 输入 “127. 0. 
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Es 
Ll VE 
下 Burp Suite Free Edition wl. 1.21 一 a PrEoTect 


1 
Burp Intruder Repeater Vyndow Help : 


Fiter: Hidng not tound tems; hidng CSS image and general binary content, hiding dxx Fesponses hicing empty folders 


Hust Methad | URL Params Status 主 Lenath 
| 


1 | 
i 
一 一 


Reouest | Fesponse | 


Raw Hex 


图 3-55 ”打开 火狐 浏览 器 


0. 1”, 在 同一 行 的 “端口 ?中 输入 8080。Burp Suite 软件 默认 设置 的 代理 IP 为 "127. 0. 0. 1”， 
代理 端口 为 8080, 和 本 实验 浏览 磊 设 置 的 代理 一 致 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 到 浏览 费 页 面 ,在 地 址 栏 中 输入 “172. 16. 2. 100” 后 按 
Enter 键 ,切换 到 “Burp Suite Free Edition v1. 7. 27” 界 面 , 单 击 Proxy, 可 见 拦截 的 数据 


包 , 如 图 3-56 所 示 。 


二 Hurp Suite Free Edition wl T2717 一 Tenporary Project 


Options | 


Burp Intruder Repeater Vindow Help 


四 Requestto http./M 72.16.2.100:80 


| Forvward | | Drop | | Intercept is on | | 总 ti 站 


GET # HTTIPF/1.1 
Host: 1]72.16.2.100 
User-haent: Mosillars.0 Windoayss NT 5.1; EV:49.0) Gecjio/2010010] Firefox/49.0 


Acecept: text /html, application/ahtmlti+xml , application/xwml ;d=0.9,. */* ;d=0.9 
Accept-—-Langadge: zh-CtN, sh;doa=0.8,en-USsS;doq=0.5,en;dq=0.3 

Accept—-Encodindg: gz2ip, deflate 

Connection: close 

Upgrade—-Insecure-Remests: 1 


图 3-56 ”成功 拦截 数据 包 


(8) 单 击 Forward 按钮 ,放行 数据 包 通 过 ,如 果 还 出 现 拦截 到 的 数据 包 , 则 再 单 击 
Forward 按钮 放行 数据 包 。 一 分 钟 后 , 单 击 上 方 的 Target, 可 见 之 前 放行 的 数据 包 。 碳 击 
“http: //172. 16. 2. 100”, 选择 “Spider this host? 命 令 , 开 始 对 这 个 网 站 页 面 进行 疏 取 操 
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外 Burp Smite Free Edition wl.T.2T7 =— Tenporars Project 


Burp intruder Repeater Vvindow Help 


http:il ar 00.1 


htpl7216240fS 
htp Jiauerv com | 全 http:M72.16.2.1001 


http:Wiquery.org | Addto scope 


http: Nazzlels .co 


Pasaiax_common.phpe... 
Memeplates detaultisdleue... 
templatesdelaultisiaue... 
templates/detaultiisique... 
emplatesidetaultisiue... 
Engacerment tools [Pro wersion orn] .省 templates etaultisieue... 
Compare site maps 中 ， templates/defaultisique.. 
Expand branch 2. templates/detaultisioue... 
Expand requested tems 
Delate host 

Copy URLs im this Pot 
Copy inks in this host 
Save Selected Hems 


Pttp hay i .Fd En hctivaly searn this ho 
http: /Mv yy yy .dewh Passively scarn this haost 
http: ieee yy ,Hllboel 


Pttp: /Mary do 


Show nevv ste map windowy 
Et: Mogsillars.0 Windows NT 5.1; rv:43.0) Gecko/2010010 
Et /tml ,apBlicatiorn/ nhthl+sml , Bplication/ rl ;d=0.9, 
| Accept-Langage: sh-cl,sh;oq=0.8,en-USs;dq=0.5,en;d=0.3 
hoecept-—-Encoding: ysip, deflate 


-te map help 


COonmnection: Close 
Upgrade-Insecure-hedqiests: 1 


3-57 ”开始 扑 取 


(9) 在 Confirm 界面 中 , 单 击 Yes 按钮 ,如 图 3-58 所 示 。 


Confirn 


Some of these tems are outside the current spidering scope. Vyould you like to madify the scope to include the tems? 


[ES 加 


图 3-58 Confirm 填 面 


(10) 在 管理 机 打开 浏览 各 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 
板 左 侧 导 航 栏 中 的 "日志 系统 ”一 攻击 日 志 ”, 在 “攻击 日 志 ” 界 面 中 ,可 见 产生 的 疏 虫 防护 
日 志 , 如 图 3-59 所 示 。 

(11) 双击 选中 的 日 志 , 在 "细节 ?界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 为“ 怜 虫 防护 规 
则 ”,“ 处 理 动 作 ” 为 “封禁 ”等 ,符合 预期 要 求 , 如 图 3-60 所 示 。 


【实验 思考 】 
如 何 设 置 可 以 获取 和 分 析 网 页 防 得 改 日 志 ? 
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admin ”[ 恩 诅 出 


人 | | 对 2 | Re |Sux |e 


后 ”系统 本 下 


网 癌 管 理 | 0 时 汤 ,.。 基数 方法 ”攻击 类 型 


服务 器 管理 


: -1 总 二 
2 其 础 对 条 当 兰 1 - 1 , 总 共 工 对 记录 


DU Web 防 护 


安全 情报 中 心 


”访问 扶 制 
9 网 页 防 算 改 
| 扫描 器 

了 DDos 防 护 


十 网 站 云 防 护 


图 3-59 “攻击 日 志 ” 界 面 


日 志 详 细 信 息 


拦截 时 间 :2017-12-08 10:17:18 


攻击 者 攻击 目标 
1712.16.2.200:1158 1172.16.2.100 


攻击 类 型 疏 虫 防护 规则 攻击 域 HTTP 请 求 头 部 
方法 GET 产 重 铬 别 高 级 

Web 防 护 策 略 有 息 虫 防护 策略 Web 防 护 规则 息 虫 防护 规则 
规则 号 - 处 理 动作 封禁 

目的 URL 

参数 

Post 参 郑 


Referer http://172.16.2.100/ 


Useragent Miozilla/s.0 (compatible; MSIE 9.0; Windows NT 6.1; WiIn6d; x64; 
Trident/5.0) 


其 他 
其 他 
其 他 
对 方 和 你 在 同一 内 部 了 阅 


图 3-60 “细节 ”界面 
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通过 前 3 章 的 实验 ,可 以 掌握 Web 应 用 防火 墙 的 配置 .Web 应 用 防火 墙 的 各 种 应 
用 、Web 应 用 防火 墙 的 日 志 管 理 与 分 析 。 本 课程 设计 将 综合 上 述 技 能 完成 Web 应 用 防 
火 墙 的 配置 ,管理 与 分 析 , .通过 读 程 设计 检验 之 前 掌握 的 各 项 技能 。 

【实验 目的 】 

综合 运用 所 学 Web 应 用 防火 墙 相关 知识 ,完成 Web 应 用 防火 墙 设备 部 署 、. 配 置 时 的 
常用 操作 ,例如 多 网 段 登 录 管 理 、 基础 对 象 配置 和 服务 器 管理 等 相关 操作 ,实现 Web 应 用 
防火 墙 Web 防护 .DDoS 防护 和 网 页 防 自 改 等 安全 防护 功能 。 


【知识 点 】 
服务 器 管理 .DDoS 防护 、 网 页 防 算 改 .防盗 链 、 疏 虫 防护 .敏感 信息 检测 。 
【场景 描述 】 


人 A 公司 采购 一 台 Web 应 用 防火 墙 用 于 保护 公司 的 Web 服务 器 的 安全 ,公司 领导 对 
Web 应 用 防火 墙 的 部 署 提 出 如 下 需求 。 

1) 防火 墙 的 基本 配置 

(1) 设置 Web 应 用 防火 墙 的 管理 地 址 为 “172. 16. 2. 110/24”, 网 络 管 理 员 小 张 的 地 
址 为 “172. 16.1.1/24”。 小 张 可 以 访问 Web 应 用 防火 墙 。 

(2) 小 张 只 允许 查看 Web 应 用 防火 墙 的 配置 ,无 法 修改 Web 应 用 防火 墙 的 配置 。 

2) Web 服务 占 防 护 要 求 

(1) 公司 部 署 一 台 Web 服务 器 ,要 求 Web 防火 墙 对 Web 服务 器 进行 安全 防护 。 

(2) 网 页 复 改 防护 。 

(3) 爬虫 防护 。 

(4) 防盗 链 防护 。 

(5) CSRF 防护 。 

(6) DDos 防护 (IPTCP .UDP 、HTTP) 。 

(7) 不 允许 下 载 php .exe 文件 。 

(8) 不 人 允许 上 传 php、exe、html 文件 。 

3) 备份 

(1) 对 Web 应 用 防火 墙 的 配置 备份 一 次 。 
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(2) 对 Web 应 用 防火 墙 的 日 志 备 份 一 次 。 


在 Web 应 用 防火 墙 课程 设计 中 ,需要 综合 运用 Web 应 用 防火 墙 的 对 象 配置 .策略 配 
置 .模板 配置 ,规则 配置 等 功能 项 ,实现 对 内 部 服务 器 及 网 站 的 安全 防护 。 

【实验 设备 】 

。 安全 设备 : 360 网 神 Web 应 用 防火 墙 设备 1 台 。 

。 网 络 设备 : 路 由 需 1 台 , 交 换 机 1 台 。 

。 主机 终端 : Windows XP SP3 主机 2 台 ,Windows Server 2003 SP2 主机 3 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 4-1 所 示 。 


管理 机 ;10.0.0.*/24 
(以 实际 中 地址 为 准 ) 


Web 服 务 硕 1:172.16.2.101 


GEl1:10.0.0.1 
(GD 册 


fr 

GE2 GE3 Ee 

[| 一人 3、 于 
PC:172.16.1.1 Web 服 务 器 2:172.16.2.102 

LE 1 

[一 -| 

CC > 


Weh 服 务 足 3:172.16.2.10 


图 4-1 Web 应 用 防火 墙 综合 实验 拓扑 


【实验 思路 】 

(1) 配置 网 桥接 口 。 

(2) 配置 远程 管理 IP 及 路 由 。 
(3) 配置 审计 员 账 号 。 

(4) 配置 网 页 防 算 改 防护 。 
(5) 配置 怜 虫 防护 策略 。 

(6) 配置 防盗 链 防 护 策略 。 
(7) 配置 CSRF 防盗 链 策略 。 
(8) 配置 IP、TCP、UDP、HTTP 防护 策略 。 
(9) 配置 文件 下 载 防 护 策略 。 
(10) 配置 文件 上 传 防护 策略 。 
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(11) 配置 Web 应 用 防火 墙 配置 文件 备份 。 

(12) 配置 Web 应 用 防火 墙 日 志 备 份 。 

【实验 步骤 了 

(1) 在 管理 机 打开 浏览 希 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
和 人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 

(2) 登录 Web 应 用 防火 墙 设 备 后 ,会 显示 它 的 面板 界面 。 

(3) 单 击 面板 左 侧 导 航 栏 中 的 “网 络 管理 ”一 “网 络 接口 ”, 单 击 “ 网 桥接 口 ?。 在 “网 桥 
接口 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 网 桥接 口 。 

(4) 在 “增加 网 桥接 口 ? 界 面 中 , 除 默 认 网 桥 号 1 保留 作为 管理 网 桥 外 ,输入 一 个 不 重 
复 的 网 桥 号 即 可 ,本 实验 中 输入 “网 桥 号 ”为 “12”, 其 他 保持 默认 配置 。 

(5) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 “ 增 
加 十 ”按钮 ,增加 IP。 

(6) 在 “接口 IP 地 址 配置 ”界面 中 , 填 入 “IP 地 址 ”为 “172. 16. 2. 110”,“ 子 网 掩 码 ” 为 
“255. 255. 255.0”, 勾 选 “ 管 理 IP” 复 选 框 ,其 他 保持 默认 配置 。 

(7) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 网 桥接 
口 ? 界 面 , 单 击 “完成 ?按钮 ,返回 “网 桥接 口 ? 界 面 ,检查 成 功 添加 的 接口 bridgel2。 

(8) 单 击 上 方 的 “十 Port 接口 ?>。 在 “Port 接口 ?界面 中 ,双击 GE2 接口 。 

(9) 在 “编辑 Port 接口 ?界面 中 ,设置 “网 桥接 口 ? 为 bridge12 ,其 他 保持 默认 配置 。 

(10) 单 击 “保存 ?按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 返 回 “Port 接口 ” 
界面 ,检查 GE2 的 配置 信息 。 

(11) 单 击 面 板 左 侧 导航 栏 中 的 “网 络 管理 ”一 “路 由 配置 ”, 在 “路 由 配置 "界面 中 , 单 
击 “ 增 加 ”按钮 ,增加 路 由 。 

(12) 在 “增加 路 由 ”界面 中 ,输入 “IP 地 址 ”为 “0. 0. 0.0”,“ 子 网 掩 码 ”为 “0. 0. 0. 0”， 
“下 一 跳 ” 为 “172. 16. 2. 254”。 

(13) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 确认 框 中 单 击 “ 确 定 ” 按 钮 ,返回 “路 由 配置 "界面 , 检 
查 增加 的 路 由 记录 。 

(14) 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 ”一 “远程 管理 ”, 在 “远程 管理 ”界面 中 , 单 
击 “ 增 加 ”按钮 ,增加 远程 管理 IP, 此 IP 是 登录 管理 Web 应 用 防火 墙 设备 的 管理 员 的 计算 
机 的 IP。 

(15) 在 “增加 新 的 远程 许可 IP 地 址 ”界面 中 ,输入 “IP 地 址 ”为 “172. 16. 1.1”,“ 子 网 
掩 人 码 ” 为 “255. 255. 255.0”, 勾 选 “ 是 否 允 许 Ping”“ 是 否 人 允许 Web” 复 选 框 。 

(16) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “远程 管理 ” 
界面 ,检查 添加 的 远程 管理 IP。 

(17) 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 ”一 “WebUI 设置 ”, 在 界面 中 单 击 “重启 
Web 服务 ”。 

(18) 在 此 界面 中 , 单 击 “ 确 认 ” 按 钮 ,在 弹出 的 确定 界面 中 单 击 OK 按钮 ,5 秒 钟 后 , 返 
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回 登 录 界 面 。 输 入 账户 管理 员 用 户 名 account 和 密码 account, 单 击 “ 登 录 ” 按 钮 ,登录 
Web 应 用 防火 墙 , 开 始 创建 账户 。 

(19) 进 人 管理 系统 主页 面 , 单 击 “ 系 统 配置 ?一 “账户 管理 ”, 再 单 击 上 方 的 “用 户 管 
理 ”。 在 “用 户 管理 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 账户 。 

(20) 在 “增加 新 用 户 ” 界 面 中 ,输入 “用 户 名 ”为 zhang, “用户 名 ”选择 auditgroup, 其 
他 保存 默认 配置 ,增加 审计 管理 员 。 

(21) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “用 户 管理 ” 
界面 ,检查 新 增加 的 用 户 , 配 置 完毕 。 

(22) 配置 防 自 改 策略 。 在 最 左 侧 PC 中 打开 浏览 禹 ,在 地 址 契 中 输入 Web 民 应 用 防火 
墙 产 品 的 IP 地 址 “https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防 
火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “登录 ”按钮 ,登录 Web 
应 用 防火 墙 。 单 击 面板 左 侧 导 航 栏 中 的 “网 络 管理 ”>“ 网 络 接口 ”, 单 击 “Port 接口 ”。 

(23) 双击 其 中 的 GE3 接口 ,在 弹出 的 “编辑 Port 接口 ?界面 中 必 网 桥接 口 ?选择 添加 
的 bridgel2 。 

(24) 确认 信息 无 误 后 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ， 
返回 “Port 接口 ?界面 ,检查 GE3 的 信息 是 否 更 改 。 

(25) 下 载 Web 应 用 防火 墙 中 目 融 的 防护 客户 端 和 发 布 客户 中。 由 于 实验 环境 限 
制 ,防护 客户 端 和 发 布 客户 端 已 提前 下 载 到 虚拟 机 中 ,在 此 说 明 下 载 软件 的 位 置 。 单 击 左 
侧 的 “网 页 防 复 改 ” ,在 其 中 显示 "防护 客户 端 下 载 ”, 单 击 它 ,显示 相应 的 下 载 页 面 。 

(26) 单 击 左 侧 的 “网 页 防 自 改 ”, 在 其 中 显示 “发 布 客户 端 下 载 ?, 单 击 它 ,显示 相应 的 
下 载 页 面 。 

(27) 配置 发 布 服务 顺和 防护 服务 需 。 发 布 客户 端 和 防护 客户 端 已 处 于 局 动 状态 
单 击 左 侧 的 “网 页 防 复 改 "一 ”发 布 服务 器 探测 ” ,显示 ”十 发 布 服务 器 探测 ?列表 界面 ， 显示 
检测 到 的 发 布 客 户 端 信息 。 

(28) 单 击 探 测 到 的 发 布 服 务 器 aaa-f22675b1la60( 以 实际 名 称 为 准 ), 然 后 再 单 击 右 
上 角 的 “生成 配置 十 ”按钮 ,在 弹出 的 “发 布 服务 器 配置 "界面 中 ,“ 名 称 ” 输 入 publish( 注 意 
不 能 使 用 中 文 )，“ 发 布 服务 器 根 目 录 ?” 填 人 虚拟 机 的 发 布 目录 ,本 实验 中 发 布 目录 为 
“C: NApublish”。 

(29) 确认 信息 无 误 后 , 单 击 “ 确 认 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ， 
返回 “发 布 服务 器 探测 ”界面 。 单 击 面 板 左 侧 导 航 栏 中 的 “网 页 防 算 改 ”一 “发 布 服务 右 状 
态 ”, 检 查 发 布 服务 器 是 否 连 接 成 功 。 

(30) 单 击 面板 左 侧 导 航 栏 中 的 “网 页 防 算 改 ”一 “防护 服务 器 探测 ”, 显 示 “ 十 防护 服 
务 基 探测 ?列表 界面 ,显示 检测 到 的 防护 客户 端 信息 。 

(31) 单 击 探测 到 的 防护 客户 端 w3sp2( 以 实际 名 称 为 准 ) ,再 单 击 右上 和 角 的 “生成 规 
则 十 ?按钮 ,在 弹出 的 “防护 服务 需 配 置 ? 界 面 中 “Web 名称 ?输入 WebServer( 不 要 使 用 
中 文 ) ,其 他 参数 保留 默认 值 。 

(32) 单 击 “ 下 一 步 ” 按 钮 ,在 “Web 根 目 录 ” 中 输入 虚拟 机 PC 的 网 站 根 目 录 , 本 实验 
中 网 站 根 目 录 为 “C:\Inetpub\wwwroot”( 注 意 输 入 区 分 大 小 写 ) ,其 余 参 数 不 变 。 
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(33) 单 击 “下 一 步 ? 按 钮 ， 发 布 服务 器 ?选择 前 述 步 骤 添 加 的 publish。 

(34) 单 击 * 完 成 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ?按钮 ,返回 "防护 服务 顺 
探测 ?界面 。 单 击 左 侧 的 “防护 服务 顺 状 态 ” ,检查 防护 服务 器 是 否 连 接 成 功 。 

(35) 单 击 面板 左 侧 导航 栏 中 的 “服务 器 管理 一” 普通 服务 髓 管理 ?, 单 击 上 方 的 
“HTTP 服务 器 ”。 在 “HTTP 服务 器 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 服务 器 。 

(36) 在 “编辑 HTTP 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “测试 服务 器 ”,“IP 地 址 ” 
为 "172. 16.2.101/24”, “端口 ”为 80 ,设置 "部署 模式 ”为 “串联 ”,“ 防 护 模式 ”为 “代理 模 
式 ”, “接口 ”为 bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(37) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “确定 ”按钮 ,关闭 “编辑 HTTP 
服务 大 ”界面 ,返回 “HTTP 服务 右 ” 列 表 界 面 ,检查 已 添加 的 HTTP 服务 需 信 息 。 

(38) 单 击 面板 左 侧 导航 栏 中 的 “基础 对 象 ” 一 “URL 列表 ”, 在 "URL 列表 ”界面 中 ， 
单 击 “ 增 加 十 ”按钮 ,增加 URL 列表 对 象 。 

(39) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “172. 16. 2. 101”, 其 他 保持 默认 
村 站。 

(40) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 URL 
列表 ”界面 , 单 击 “增加 ”按钮 。 

(41) 在 “增加 URL” 界 面 中 ,输入 *URL” 为 “172. 16. 2.101”, 其 他 保持 默认 配置 。 

(42) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “URL 列 
表 ”, 检 查 增加 的 URL 列表 对 象 。 

(43) 单 击 面板 左 侧 导 航 栏 中 的 “Web 防护 ”一 "Web 防护 规则 ”, 选 择 * 疏 虫 防护 规 
则 ”。 在 “ 疏 虫 防护 规则 ?界面 中 , 单 击 “增加 十 ”按钮 。 

(44) 在 "增加 疏 虫 防护 规则 ?界面 中 ,输入 "名 称 ? 为 “爬虫 防护 规则 ”。 

(45) 单 击 * 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ?按钮 ,返回 “增加 爬虫 防 
护 规则 ”界面 , 单 击 “增加 十 ”按钮 ,增加 防护 条 目 

(46) 在 "增加 疏 虫 防护 规则 和 条目? 界面 中 ， 他 中 防护 URL ”设置 为 "172. 16. 2. 101”， 
“处 理 动 作 ? 设 置 为 "封禁 ”, 其 他 保持 默认 配置 。 

(47) 单 击 “* 保 存 ? 按 钮 ,在 弹出 的 配置 成 功 界面 中 , 单 击 “确定 ”按钮 ,返回 “增加 疏 虫 
防护 规则 ?界面 , 单 击 * 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 "确定 ?按钮 ,返回 “ 疏 虫 
防护 规则 ?界面 ,检查 增加 的 爬虫 防护 规则 。 

(48) 单 击 "Web 防护 ?一 "Web 防护 模板 ”, 在 ”Web 防护 模板 ”界面 中 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 模板 。 

(49) 在 “增加 Web 防护 模板 ?界面 中 ,输入 "名称 ?为 “爬虫 防护 模板 ?”,“ 疏 虫 防 护 规 
则 ?选择 "让 虫 防护 规则 ”, 其 他 保持 默认 配置 。 

(50) 单 击 "保存 ?按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “确定 ?按钮 ,返回 ”Web 防护 模 
板 ? 界 面 ,检查 增加 的 防护 模板 。 

(51) 单 击 “Web 防护 ”一 “Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,增加 防护 策略 。 

254 


第 4 章 Web 应 用 防火 墙 综合 实验 


(52) 在 “增加 Web 防护 策略 ?界面 中 ,输入 “名 称 ” 为 “ 疏 虫 防护 策略 ”, “Web 防护 模 
板 ” 设 置 为 “ 候 虫 防护 模板 ”, “访问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(53) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 ,检查 增加 的 防护 策略 。 

(54) 配置 盗 链 防护 。 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 防护 规则 ”, 选 
择 “ 防 盗 链 规则 ”。 在 “防盗 链 规则 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,添加 防盗 链 规则 。 

(55) 在 “增加 防盗 链 规则 ”界面 中 ,“ 名 称 ” 输 入 “防盗 链 ”, 单 击 “ 保 存 ” 按 钮 。 

(56) 在 弹出 的 配置 成 功 界面 中 单 击 “确定 ?按钮 ,返回 “增加 防盗 链 规 则 ?界面 , 单 击 
“增加 十 ”按钮 ,增加 防盗 链 规 则 条 目 

(57) 在 “增加 防盗 链 规 则 条 目 "界面 中 ， “保护 URL” 和 “Referer URL” 都 设置 为 
“172. 16. 2. 101”,“ 处 理 动作 ”设置 为 “ 阻 断 ”,“ 严 重 级 别 ” 设 置 为 “低级 ”, 勾 选 “ 运 行 Referer 为 
空 ” 复 选 框 ,其 他 保持 默认 配置 。 

(58) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 防盗 链 
规则 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “防盗 链 规 
则 ?界面 ,检查 添加 成 功 的 防盗 链 规则 。 

(59) 单 击 “Web 防护 ”一 Web 防护 模板 ”, 在 "Web 防护 模板 ?界面 中 , 单 击 “增加 十 ” 
按钮 ,增加 防护 模板 。 

(60) 在 “增加 Web 防护 模板 ?界面 中 ,输入 "名 称 ” 为 “防盗 链 模板 ”防盗 链 规则 ? 选 
择 “ 防 盗 链 ”, 其 他 保持 默认 配置 。 

(61) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 ,检查 添加 的 防盗 链 模 板 。 

(62) 单 击 “Web 防护 ”一 “Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,添加 盗 链 防护 策略 。 

(63) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “ 盗 链 防护 策略 ”, “服务 器 ”设置 
为 “测试 服务 器 ”,“Web 防护 模板 ”设置 为 “防盗 链 模板 ”, “访问 日 志 ” 设 置 为 “开启 ”, 其 他 
保持 默认 配置 。 

(64) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 策 
略 ” 界 面 ,检查 添加 的 盗 链 防护 策略 ,配置 完毕 。 

(65) 配置 CSRF 防护 。 单 击 面板 左 侧 的 “基础 对 象 *> 一 “URL 列表 ”, 在 “URL 列表 ” 
界面 中 , 单 击 “增加 十 ”按钮 ,增加 URL 列表 。 

(66) 在 “增加 URL 列表 ”界面 中 ,输入 “名 称 ” 为 “url-CSRF”, 设 置 “ 动 作 ” 为 “匹配 ”， 
单 击 “ 保 存 ? 按 钮 ,在 弹出 的 配置 成 功 界面 单 击 “确定 ?按钮 。 返 回 " 增 加 URL 列表 ”URL 
界面 , 单 击 “ 增 加 十 ”按钮 ,增加 URL。 

(67) 在 “编辑 URL” 界 面 中 ,输入 URL 为 /DVWA/vulnerabilities/csrf”, 其 他 保持 
默认 配置 。 

(68) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 URL 
列表 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “URL 列 
表 ” 界 面 ,检查 配置 成 功 的 URL 信息 。 
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(69) 单 击 面板 左 侧 导 航 栏 中 的 "Web 防护 ”>“Web 防护 规则 ”, 选 择 “ 防 里 站 请 求 伪 
造 规则 ”。 在 “ 防 蜂 站 请 求 伪 造 规则 ”界面 中 , 单 击 “增加 十 ”按钮 ,添加 CSRF 防护 规则 。 

(70) 在 “增加 防 跨 站 请 求 伪造 规则 ”界面 中 ,“ 名 称 ” 输 入 CSRF, 单 击 “ 保 存 ” 按 钮 。 

(71) 在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 防 跨 站 请 求 伪 造 规 则 ” 界 
面 , 单 击 “增加 十 ?按钮 ,增加 防 蜂 站 请 求 伪 造 规则 条 目 

(72) 在 “增加 防 跨 站 请 求 伪 造 规则 条 目 ” 界 面 中 ,保护 URL” 和 “Referer URL” 都 设 
置 为 Yurl-CSRF”,“ 处 理 动 作 ” 设 置 为 “ 阻 断 ”, “请求 方法 ”同时 色 选 GET 和 POST 复 选 
框 , 勾 选 “运行 Referer 为 空 ” 复 选 框 ,其 他 保持 默认 配置 ，。 

(73) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 防 跨 站 
请 求 伪造 规则 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界面 中 单 击 “确定 ”按钮 ,返回 
“ 防 跨 站 请 求 伪造 规则 ”界面 ,检查 添加 的 防 蜂 站 请 求 伪 造 规则 。 

(74) 单 击 “Web 防护 ”一 Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 , 单 击 “增加 十 ” 
按钮 ,增加 防护 模板 。 

(75) 在 “增加 Web 防护 模板 ?界面 中 ,输入 “名称 ”为 CSRF， 防 蜂 站 请 求 伪 造 规则 ?” 
设置 为 CSRF ,其 他 保持 默认 配置 。 

(76) 单 击 “保存 ?按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ? 按 钮 ,返回 “Web 防护 模 
板 ” 界 面 中 ,检查 添加 的 CSRF 防护 模板 。 

(77) 单 击 “Web 防护 ”一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 ,添加 CSRF 防护 策略 。 

(78) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “CSRF 防护 策略 ”, 将 “Web 防 
护 模 板 ” 设 置 为 CSRF, “访问 日 志 ” 设 置 为 “开启 ”, 其 他 保持 默认 配置 。 

(79) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “Web 防护 策 
略 ” 界 面 ,检查 添加 的 CSRF 防护 策略 ,配置 完毕 。 

(80) 配置 IP DDoS 防护 。 单 击 面 板 左 侧 导 航 栏 中 的 “服务 器 管理 ”一 “普通 服务 占 管 
理 ”, 单 击 上 方 的 “其 他 服务 器 ”。 在 “其 他 服务 器 ”界面 中 , 单 击 “增加 十 ”按钮 ,增加 服 
务 器 。 

(81) 在 “增加 其 他 服务 器 ”界面 中 ,输入 “服务 器 名 称 ” 为 “Web 服务 器 ”,“IP 地 址 ?为 
“172. 16. 2. 101/24”, 设 置 “ 部 署 模 式 ” 为 “串联 ”,“ 防 护 模式 ”为 “ 流 模式 ”,“ 接 口 ” 为 
bridgel12, 勾 选 “ 启 用 ” 复 选 框 。 

(82) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “其 他 服务 
髓 ”列表 界面 ,检查 添加 的 其 他 服务 器 信息 。 

(83) 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 规则 ”, 选 择 “IP 防护 规 
则 ”。 单 击 “ICMP Flood 攻击 防护 ”, 在 “ICMP Flood 攻击 防护 ”界面 中 , 单 击 “ 增 加 十 ” 
按钮 。 

(84) 在 “增加 ICMP Flood 攻击 防护 规则 ”界面 中 ,输入 “名 称 ” 为 “ICMP 防护 规则 ”， 
将 “处 理 动 作 ” 设 置 为 “丢弃 ”, 其 他 保持 默认 配置 。 

(85) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “ICMP 
Flood 攻击 防护 ”界面 ,检查 增加 的 防护 规则 。 
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(86) 单 击 “DDoS 防护 ”>“DDoS 防护 模板 ”, 在 “DDoS 防护 模板 ”界面 中 , 单 击 “ 增 加 
十 ”按钮 ,增加 防护 模板 。 

(87) 在 “增加 DDoS 防护 模板 ?界面 中 ,输入 “名 称 ” 为 "ICMP 防护 模板 ”,“ 类 型 ”设置 
为 “网 络 层 防护 ”“ICMP Flood 攻击 防护 规则 ?设置 为 "ICMP 防护 规则 ”, 其 他 保持 默认 
配置 。 

(88) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
模板 ”界面 ,检查 增加 的 防护 模板 。 

(89) 单 击 “DDoS 防护 ”>“DDoS 防护 策略 ”, 在 “DDoS 防护 策略 ”界面 中 单 击 “增加 
十 ”按钮 ,增加 防护 策略 。 

(90) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 "名 称 ? 为 "ICMP 防护 策略 ”, 将 服务器” 
设置 为 “Web 服务 带 ”, 将 “DDoS 防护 模板 ”设置 为 “ICMP 防护 模板 ”, 其 他 保持 默认 
屿 前。 

(91) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
策略 ”界面 ,检查 增加 的 防护 策略 ,配置 完毕 。 

(92) 配置 TCP DDoS 防护 。 单 击 面板 左 侧 导航 栏 中 的 “DDoSs 防护 ”一 “DDoS 防护 
规则 ”一 “TCP 防护 规则 ?”。 在 “十 端口 扫 摘 防护 ?界面 中 ,双击 Default 规则 。 在 “编辑 端 
口 扫描 防护 规则 ”界面 中 ,输入 “名 称 ” 为 Default, 勾 选 “ACK 扫描 检测 ”SYN|ACK 扫描 
检测 ”RST 扫描 检测 ”FIN 扫描 检测 ”Connect 扫描 检测 ” 复 选 框 ,设置 “总 的 扫描 速率 ” 
为 300,“ 单 个 ip 扫描 速率 ”为 30，“ 处 理 动作 ”为 “丢弃 ?”， 严 重 级 别 ? 为 “中 级 ”, 勾 选 日 

(93) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “端口 扫描 防 
护 ” 界 面 , 单 击 上 方 的 “ACK Flood 攻击 防护 ”。 

(94) 在 “十 ACK Flood 攻击 防护 ”界面 中 ,双击 Default 规则 。 在 “编辑 ACK Flood 
攻击 防护 规则 ”界面 中 ,设置 “处 理 动 作 ” 为 “丢弃 ”,“ 严 重 级 别 ” 为 “中 级 ”, 勾 选 “ 日 志 ” 复 选 
框 ,其 他 保持 默认 配置 。 

(95) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “ACK Flood 
攻击 防护 ”界面 。 单 击 面 板 左 侧 导 航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 模板 ”。 在 “DDoS 
防护 模板 ”界面 中 ,双击 “HTTP Default” 模 块 , 单 击 “TCP 防护 规则 ”, 发 现 已 经 添加 了 端 
口 扫 描 防 护 规 则 Default 和 ACK Flood 攻击 防护 规则 Default。 

(96) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 DDoS 
防护 模板 ”界面 。 单 击 面 板 左 侧 导 航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 策略 ”。 在 
“十 DDoS 防护 策略 ”界面 中 , 单 击 “增加 十 ”按钮 ,添加 DDoS 防护 策略 。 

(97) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “TCP 防护 策略 ”, 设 置 “ 服 务 
器 ”为 “测试 服务 器 ”,“ 源 IP” 为 “ 空 ”,“DDoS 防护 模块 ?为 “HTTP Default”, “优先 级 ”为 
1, 勾 选 “ 启 用 ” 复 选 框 。 

I HE 0 


(99) 配置 UDP DDoS 防护 。 单 击 面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 
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规则 ”, 选 择 “UDP 防护 规则 ”。 在 “UDP Flood 攻击 防护 ?界面 中 , 单 击 “增加 十 ”按钮 。 

(100) 在 “增加 UDP Flood 攻击 防护 规则 ?界面 中 ,输入 "名称 ?为 "UDP 防护 规则 ”， 
“处 理 动作 ”设置 为 “丢弃 ”, 其 他 保持 默认 配置 。 

(101) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “UDP 
Flood 攻击 防护 ”界面 ,检查 增加 的 防护 规则 。 

(102) 单 击 “DDoS 防护 ”>“DDoS 防护 模板 ”, 在 ”DDoS 防护 模板 ”界面 中 , 单 击 “ 增 
加 十 ”按钮 ,增加 防护 模板 。 

(103) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “UDP 防护 模板 ”, “类 型 ” 设 
置 为 “网 络 层 防护 ”, 单 击 ”UDP 防护 规则 ”,“UDP 攻击 防护 规则 ”设置 为 "UDP 防护 规 
则 ”, 其 他 保持 默认 配置 。 

(104) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
模板 ”界面 ,检查 增加 的 防护 模板 。 

(105) 单 击 “DDoS 防护 ”>“DDoS 防护 策略 
十 ”按钮 ,增加 防护 策略 。 

(106) 在 “增加 DDoS 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “UDP 防护 策略 ?> “服务 右 ” 
设置 为 “Web 服务 器 ”,“DDoS 防护 模板 ?设置 为 "UDP 防护 模板 ”, 其 他 保持 默认 配置 。 

(107) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “DDoS 防护 
策略 ”界面 ,检查 增加 的 防护 策略 。 

(108) 配置 HTTP DDoS 防护 。 单 击 面板 左 侧 导航 栏 中 的 "DDoSs 防护 ”一 “DDoS 防 
护 规则 ”, 选 择 “HTTP 防护 规则 ”。 在 “HTTP Flood 攻击 防护 ”界面 中 , 单 击 “ 增 加 十 ” 


' ,在 “DDoS 防护 策略 ”界面 中 单 击 “ 增 加 


按钮 。 
(109) 在 “增加 HTTP Flood 攻击 防护 规则 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 
规则 ” 


(110) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “增加 
HTTP Flood 攻击 防护 规则 ”界面 , 单 击 “ 增 加 十 ”按钮 ,增加 防护 规则 。 

(111) 在 “增加 HTTP Flood 攻击 防护 规则 条 目 ”* 界 面 中 ,“ 处 理 动作 ”设置 为 “封禁 ”， 
其 他 保持 默认 配置 。 

(112) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “增加 
HTTP Flood 攻击 防护 规则 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ， 
返回 “HTTP Flood 攻击 防护 ”界面 ,检查 增加 的 防护 规则 。 

(113) 单 击 “DDoS 防护 ?一 “DDos 防护 模板 ”, 在 “DDos 防护 模板 ”界面 中 , 单 击 “ 增 
加 十 ”按钮 ,增加 防护 模板 。 

(114) 在 “增加 DDoS 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “HTTP 防护 模板 ”, 将 “类 型 ” 
设置 为 "HTTP 防护 ”, 单 击 *HTTP 防护 规则 ?标签 页 “HTTP Flood 攻击 防护 规则 ” 设 
置 为 "HTTP 防护 规则 ”, 其 他 保持 默认 配置 。 

(115) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
模板 ”界面 ,检查 增加 的 防护 模板 。 

(116) 单 击 *DDos 防护 ”>“DDoS 防护 策略 ”, 在 “DDoS 防护 策略 ”界面 中 单 击 “ 增 加 
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十 ”按钮 ,增加 防护 策略 。 

(117) 在 “增加 DDoS 防护 策略 ?界面 中 ,输入 ”名称 ?为 "HTTP 防护 策略 >， 服务 需 ” 
设置 为 “测试 服务 器 ”,“DDoS 防护 模板 ”设置 为 “HTTP 防护 模板 ”, 其 他 保持 默认 配置 。 

(118) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 
策略 ”界面 ,检查 增加 的 防护 策略 ,配置 完毕 。 

(119) 配置 文件 下 载 策 略 。 单 击 面板 左 侧 导航 栏 中 的 ”Web 防护 ”>“Web 防护 规 
则 ”, 选 择 * 文 件 下 载 规则 ”。 在 “文件 下 载 规则 ?界面 中 , 单 击 “ 增 加 十 ?按钮 ,添加 文件 下 载 
防护 规则 。 

(120) 在 “文件 下 载 规 则 ”界面 中 ,“ 名 称 ” 输 入 “文件 下 载 规 则 ”, “默认 动作 ”设置 为 
“通过 ”, 单 击 “ 保 存 ” 按 钮 。 

(121) 在 弹出 的 配置 成 功 界 面 中 单 击 "确定 ?按钮 ,返回 "增加 文件 下 载 规则 ?界面 , 单 
击 “ 增 加 十 ”按钮 ,增加 文件 下 载 规 则 条 目 

(122) 在 “增加 文件 下 载 规则 条 目 ,的 “基本 配置 "界面 中 “处 理 动作 ”设置 为 “ 阻 断 ”， 
其 他 保持 默认 配置 。 

(123) 单 击 “文件 类 型 >, 在 “增加 文件 下 载 规则 条 目 ? 的 “文件 类 型 ?界面 中 , 勾 选 “局 
用 文件 类 型 检测 ” 复 选 框 , 在 “可 选 文件 类 型 "中 选中 "PHP”EXE?” 复 选 框 , 其 他 保持 默认 
配 首 。 

(124) 单 击 “保存 ?按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ? 按 钮 ,返回 “增加 文件 
下 载 规则 ”界面 , 单 击 “保存 ”按钮 ,在 弹出 的 更 新 成 功 界 面 中 单 击 “确定 ”按钮 ,返回 “文件 
下 载 规则 ”界面 ,检查 添加 成 功 的 文件 下 载 规 则 。 

(125) 单 击 “Web 防护 ”一 ”Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 , 单 击 “增加 
十 ”按钮 ,增加 防护 模板 。 

(126) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “文件 下 载 模 板 ”,“ 文 件 下 载 规 
则 ”选择 “文件 下 载 规则 ”, 其 他 保持 默认 配置 。 

(127) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “Web 防护 
模板 ”界面 中 ,检查 添加 的 文件 下 载 防 护 模 板 。 

(128) 单 击 “Web 防护 ”一 ”Web 防护 策略 ” ,在 “Web 防护 策略 ”界面 中 , 单 击 “增加 
十 ”按钮 ,添加 文件 下 载 策略 。 

(129) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “文件 下 载 策 略 ”, “服务器 ” 设 
置 为 “测试 服务 器 ”,“Web 防护 模板 "设置 为 * 文件 下 载 模板 ”,* 访 问 日 志 ” 设 置 为 “开启 ”， 
其 他 保持 默认 配置 。 

(130) 单 击 “保存 ”按钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “Web 防护 
策略 ?界面 ,检查 添加 的 文件 下 载 策略 ,配置 完毕 。 

(131) 配置 文件 上 传 策略 。 单 击 面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 防护 规则 ”， 
选择 “文件 上 传 规则 ”。 在 “文件 上 传 规则 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 文件 上 传 规则 。 


(132) 在 “新 增 文件 上 传 规则 ”界面 中 ,输入 “名 称 ” 为 “文件 上 传 规则 ”,“ 上 默认 动作 ” 设 


置 为 “通过 ”。 
(133) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “确定 ”按钮 ,返回 “新 增 文 件 
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上 传 规则 ”界面 , 单 击 “增加 十 ”按钮 。 

(134) 在 “新 增 文 件 上 传 规则 条 目 ” 界 面 中 ,“ 处 理 动 作 ” 设 置 为 “ 阻 断 ”, 其 他 保持 默认 
配 首 。 

(135) 单 击 “文件 类 型 ”, 勾 选 “ 启 用 文件 类 型 检查 ” 复 选 框 , 选 择 php、exe、html 到 “ 检 
查 文件 类 型 >? 框 中 。 

(136) 单 击 “保存 ”按钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “新 增 文件 
上 传 规则 ”界面 , 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “文件 
上 传 规则 ”界面 中 ,检查 添加 的 文件 上 传 规则 。 

(137) 单 击 面 板 左 侧 的 “Web 防护 ”一 “Web 防护 模板 ”, 在 “Web 防护 模板 ”界面 中 单 
击 “ 增 加 十 ”按钮 ,增加 防护 模板 。 

(138) 在 “增加 Web 防护 模板 ”界面 中 ,输入 “名 称 ” 为 “文件 上 传 防护 模板 ”, “文件 上 
传 规则 ”设置 为 “文件 上 传 规 则 ”, 其 他 保持 默认 配置 。 

(139) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 操作 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 
模板 ”界面 ,检查 增加 的 防护 模板 。 

(140) 单 击 面 板 左 侧 导航 栏 中 的 “Web 防护 ”一 Web 防护 策略 ”, 在 “Web 防护 策略 ” 
界面 中 , 单 击 “ 增 加 十 ”按钮 。 

(141) 在 “增加 Web 防护 策略 ”界面 中 ,输入 “名 称 ” 为 “文件 上 传 防护 策略 ”, “服务 
髓 ”设置 为 “测试 服务 器 ”,“Web 防护 模板 ”设置 为 “文件 上 传 防 护 模 板 ”, “访问 日 志 ” 设 置 
为 “开局 ”, 其 他 保持 默认 配置 。 

(142) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 ,返回 “Web 防护 
策略 ”界面 ,检查 增加 的 防护 策略 ,配置 完毕 。 

(143) 配置 文件 备份 。 单 击 面 板 左 侧 导航 栏 中 的 “系统 配置 >“ 备份 恢复 ”。 在 “ 备 
份 恢 复 ” 界 面 中 , 单 击 “手工 备份 十 ”按钮 ,开始 备份 配置 。 

(144) 在 弹出 的 备份 数据 库 成 功 窗 口中 单 击 “ 确 定 ” 按 钮 ,返回 “备份 恢复 ”界面 ,检查 
已 备份 的 配置 数据 库 。 

(145) 单 击 此 记录 右 侧 的 “导出 ?按钮 ,导出 备份 文件 ,以 后 如 果 出 现 故 障 可 以 赁 此 文 
件 恢复 配置 。 

(146) 在 弹出 的 界面 中 单 击 “ 确 定 ” 按 钮 。 

(147) 文件 保存 到 默认 路 径 , 本 实验 备份 文件 保存 到 桌面 ,文件 名 是 随机 产生 的 。 

(148) 备份 Web 应 用 防火 墙 的 配置 信息 后 ,更改 Web 应 用 防火 墙 配 置 ,增加 一 个 网 
桥接 口 。 单 击 面 板 左 侧 导航 栏 中 的 “网 络 管理 ”一 “网 络 接 口 ”, 单 击 “ 网 桥接 口 "?。 在 “网 桥 
接口 ”界面 中 , 单 击 “ 增 加 十 ”按钮 ,增加 网 桥接 口 。 

(149) 在 “增加 网 桥接 口 ” 界 面 中 ,输入 “网 桥 号 ”为 13 ,其 他 保持 默认 配置 。 

(150) 单 击 “下 一 步 ” 按 钮 ,在 弹出 的 增加 网 桥 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 
“完成 ”按钮 ,添加 网 桥接 口 ,配置 完毕 。 

(151) 单 击 面板 左 侧 导航 栏 中 的 “日 志 系 统 ” 一 “备份 日 志 ”。 在 “备份 日 志 ” 界 面 中 ， 
单 击 “ 手 工 备 份 十 ”按钮 ,开始 备份 Web 应 用 防火 墙 的 信息 。 

(152) 在 弹出 的 界面 中 ,显示 “备份 数据 库 成 功 ”。 
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(153) 单 击 “ 确 定 ” 按 钮 ,返回 “备份 日 志 ” 界 面 ,发 现 备份 记录 。 单 击 此 备份 文件 右 侧 
“操作 ” 列 的 “导出 ”按钮 ,导出 备份 文件 。 

(154) 在 弹出 的 界面 中 ,设置 保存 的 位 置 为 “加 面 ”, 文 件 名 由 Web 应 用 防火 墙 自 动 生 成 。 

(155) 单 击 “确定 ?按钮 ,在 桌面 应 存 有 此 备份 文件 。 

【实验 预期 】 

(1) PC 成 功 登 录 审 计 管理 员 用 户 。 

(2) 外 网 网 页 算 改 攻击 不 成 功 。 

(3) 添加 有 息 忠 防护 策略 后 ,防火 墙 阻 断 息 虫 攻击 ,可 见 候 虫 防护 日 志 。 

(4) 启用 盗 链 防护 策略 后 ,用 户 不 能 访问 盗 链 图 片 。 

(5) 启用 CSRF 防护 策略 后 ,用 户 访问 危险 网 站 ,CSRF 攻击 被 拦截 。 

(6) 添加 IP 防护 策略 后 ,防火 墙 阻 断 ICMP 攻击 ,可 见 IP 防护 日 志 。 

(7) 添加 TCP 防护 策略 后 ,防火墙 阻 断 TCP 攻击 ,可 见 TCP 防护 日 志 。 

(8) 添加 UDP 防护 策略 后 ,防火墙 阻 断 UDP 攻击 ,可 见 UDP 防护 日 志 。 

(9) 添加 HTTP 防护 策略 后 , Web 应 用 防火 墙 阻 断 HTTP 攻击 ,可 见 HTTP 防护 

(10) 启用 文件 下 载 策略 后 ,用 户 不 能 下 载 PHP 和 EXE 格式 的 文件 。 

(11) 启用 文件 上 传 策 略 后 ,用 户 不 能 上 传 PHP、EXE 和 HTML 格式 的 文件 。 

(12) 通过 配置 备份 文件 成 功 恢复 配置 。 

(13) 通过 配置 日 志 备 份 文件 成 功 恢复 配置 。 

【实验 结果 】 

1) PC 成 功 登 录 审 计 管 理 员 用 户 

(1) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 进 入 虚拟 机 ,如 图 4-2 所 示 。 


管理 机 ，10.0.0.*/24 
(以 实际 PP 地 址 为 准 ) 
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Weh 服 务 大 3:172.16.2.10 


图 4-2 登录 左 侧 虚 拟 机 
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(2) 在 虚拟 机 打开 火狐 浏览 需 , 在 地 址 栏 中 输入 “https: //172. 16. 2. 110? 后 按 Enter 
键 ,如 出 现 连 接 不 安全 的 提示 , 单 击 页面 的 “高 级 ”按钮 ,下 拉 页 面 , 单 击 “ 添 加 例外 ”按钮 ， 
在 弹出 的 “添加 安全 例外 ?窗口 中 单 击 “确认 安全 例外 ?按钮 , 则 成 功 跳 转 到 Web 防火 墙 登 
录 界 面 。 输入 管理 员 用 户 名 zhang 和 密码 zhang。 

(3) 单 击 “ 登 录 ” 按 钮 ,可 以 成 功 登 录 Web 应 用 防火 墙 设备 。 

2) 外 网 网 页 算 改 攻击 不 成 功 

(1) 进入 实验 平台 对 应 实验 拓扑 中 最 左 侧 PC, 如 图 4-3 所 示 。 


管理 机 ，10.0.0.*/24 
(以 实际 地址 为 准 ) 


有 
| [| 
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图 4-3 登录 虚拟 机 


(2) 在 虚拟 机 桌面 打开 火狐 浏览 磊 , 在 地 址 栏 输 入 “172. 16. 2. 10” 后 按 Enter 键 ,可 
见 正常 的 网 页 ,如 图 4-4 所 示 。 


这 是 正常 的 首页 


图 4-4 正常 网 页 


(3) 双击 桌面 的 “网 页 算 改 攻击 . bat”, 攻 击 Web 服务 器 3, 如 图 4-5 所 示 。 

(4) 运行 攻击 程序 后 ,显示 发 起 攻击 的 页 面 ,如 图 4-6 所 示 。 

(5) 在 火狐 浏览 器 中 ,刷新 网 页 ,依然 显示 正常 网 页 的 内 容 , 网 页 算 改 攻击 并 未 成 功 ， 
如 图 4-7 所 示 。 

(6) 返回 Web 应 用 防火 墙 的 Web UI 界 面 , 单 击 左 侧 的 “网 页 防 算 改 ”一 防 护 服 务 器 
配置 ”, 在 “十 防护 服务 咒 配 置 ? 列 表 界 面 , 单 击 前 述 步骤 配置 的 WebServer, 册 单 击 右上 和 角 
的 “删除 ?按钮 ,将 该 配置 删除 。 
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oC \TINDOVTS\systend2\cad. exe 


i | LT2. 16.2. 10 


图 4-7 首页 未 被 算 改 


(7) 在 弹出 的 确认 窗口 中 单 击 OK 按钮 ,弹出 成 功 删除 的 信息 , 单 击 “ 确 定 ” 按 钮 , 返 
回 “ 十 防护 服务 器 配置 ”界面 ,内 容 应 已 清空 。 

(8) 单 击 “网 页 防 算 改 ” 一 “发布 服务 器 配置 ”, 在 “十 发 布 服务 髓 配置 ”列表 界面 , 单 击 
publish ,再 单 击 右上 角 的 “删除 x” 按 钮 。 

(9) 单 击 “ 删 除 X ”按钮 后 ,在 弹出 的 确认 窗口 中 单 击 OK 按钮 ,弹出 成 功 删 除 的 信 
息 , 单 击 “ 确 定 ” 按 钮 ,返回 “十 防护 服务 紫 配 置 " 界 面 ,内 容 应 已 清空 。 

(10) 一 分 钟 后 ,进入 实验 平台 对 应 实验 拓扑 最 左 侧 的 PC 虚拟 机 ,如 图 4-8 所 示 。 


管理 机 ，10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 
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图 4-8 登录 虚拟 机 
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(11) 在 虚拟 机 桌面 双击 “首页 算 改 攻击 .bat” 的 快捷 图 标 , 攻 击 Web 服务 项 。 

(12) 运行 攻击 程序 后 ,显示 攻击 成 功 的 页 面 , 如 图 4-9 所 示 。 

(13) 打开 火狐 浏览 器 ,刷新 “172. 16. 2. 10” 的 网 页 ,可 见 网 页 已 被 算 改 成 功 ,符合 预 
期 要 求 ,如 图 4-10 所 示 。 


况 忻 正 ) 办 查 他 ) 查看 上 ] /历史 (sy 书签 备 ) 工具 位 才 助 Y) 


http: fli12. 16.2. 10/ 


=- | i) | iT2. 16,2. IO 


其 改 成 功 


图 4-9 发 起 网 页 算 改 攻击 图 4-10 ”首页 算 改 成 功 
3) 阻 断 拒 曰 攻击 
(1) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 进 入 虚拟 机 ,如 图 4-11 所 示 。 


管理 机 ，10.0.0.*/24 
(以 实际 JP 地 址 为 准 ) 
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图 4-11 登录 虚拟 机 


(2) 在 虚拟 机 双击 桌面 的 "Burp Suite Free Edition”, 用 它 做 代理 息 取 网 页 。 

(3) 在 “Burp Suite Free Edition” 界 面 中 , 单 击 “I Accept” 按 钮 ,在 跳 转 到 的 界面 中 单 
击 Next 按钮 。 之 后 单 击 “Start Burp”, 成 功 打 开 BurpSuite。 

(4) 双击 “Mozilla Firefox”, 打 开火 狐 浏 览 帮 。 

(5) 在 火狐 浏览 大 中 , 单 击 右 侧 的 下 拉 框 , 单 击 选 项 ”按钮 。 

(6) 在 “选项 ”界面 中 , 单 击 左 侧 的 “高 级 ”, 在 中 部 单 击 “ 网 络 ”, 在 界面 中 “连接 ” 右 侧 
单 击 “设置 ...”, 设 置 代理 。 

(7) 在 “连接 设置 "界面 中 , 勾 选 “手动 配置 代理 ” 复 选 框 ,在 “HTTP 代理 ” 行 中 输入 
“127.0.0.1”, 在 同一 行 的 Port 中 输入 8080。BurpSuite 软件 默认 设置 的 代理 IP 为 “127. 
0.0.1”, 代 理 端口 为 8080, 和 本 实验 浏览 项 设置 的 代理 一 致 。 
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(8) 单 击 “ 确 定 ” 按 钮 ,返回 “选项 ”界面 ,在 地 址 栏 中 输入 “172. 16. 2. 101” 后 按 Enter 键 ， 
切换 到 “Burp Suite Free Edition” 界 面 , 单 击 Proxy, 可 见 拦 截 的 数据 包 , 如 图 4-12 所 示 。 


直 Burp Jute Free Edtion wl. .2 一 lenmnporary Project 


Burp Intruder Repesier Vndow Help 


-1 
ee Mozillars.0 iWindows HT 5.1; Ev:43.0) GeckoS0100101 Firefsx/49.0 
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eeepe- Language: sh-CH, shiq*=0.68,en-US;q=0.5,endq=0.3 
eeept— Eneoding: gip:s detflats 
onct on lO 
Parade— lnsecure— Requests: 1 


图 4-12 成 功 拦 截 数 据 包 


(9) 单 击 Forward 按钮 ,放行 数据 包 通 过 ,如 果 还 出 现 拦 截 到 的 数据 包 , 则 再 单 击 
Forward 按钮 放行 数据 包 。 一 分 钟 后 , 单 击 上 方 的 Target, 可 见 之 前 放行 的 数据 包 。 碳 击 
“http: //172. 16. 2. 101”, 单 击 “Spider this host” ,开始 对 这 个 网 站 页 面 进 行 候 虫 操作 ，。 

(10) 在 Confirm 界面 中 , 单 击 Yes 按钮 。 

(11) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172.16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 时 航 栏 中 的 “日 志和 系统” 一 “攻击 日 志 ”, 在 “攻击 日 志 ” 界 面 中 ,可 见 产 生 的 息 忠 防 
护 日 志 , 如 图 4-13 所 示 。 


吕 admin 加 退 击 
碳 主页 面 中 攻击 日 志 |##e | | 法 se | [sx 区 二 
ee 知 TE 示 15 ” 
局 网 结 芒 理 | | | 日 期 和 时 间 | 源 ..。 站 点 域 客 /IP ”目的 URL 全 数 
辐 ”服务 器 管理 
嵌 基 贡 对 守 当前 1 - 1 , 总 共 1 条 记录 
有 Web 防护 
十 “安全 倩 眼 中心 
四” 访问 控制 
轩 ”网 页 防 蔓 改 
包 ， 扫 撒 器 
证 ”DDoS 防护 


证 ”网 站 云 防 护 


局 日 去 系统 


备份 日 志 
审计 日 志 
访问 日 志 
琉 击 日 志 


图 4-13 “攻击 日 志 ” 界 面 
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(12) 双击 选中 的 日 志 , 在 “细节 ”界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ?为 “* 疏 虫 防护 规 
则 ”,” 处 理 动作 ?为 “封禁 ?等 ,符合 预期 要 求 ,如 图 4-14 所 示 。 
细节 
日 志 详 细 信 息 


拦截 时 间 :2017-12-30 20:41:22 


攻击 背 攻击 目标 
172.16.2.100:1168 172,.16.2.101 


攻击 类 型 有 息 申 防护 规则 
方法 GET 
息 虫 防护 第 腹 


http://172.16.2.101/ 


Mozillars.0 (compatible: MSIE 8.0; Windows NT 6.1: WinG4: x6d: 
Trndent/S.0) 


其 他 
其 他 
其 他 


图 4-14 “ 细 记 ” 般 面 


(13) 返回 最 左 侧 PC, 取 消 火 狐 浏览 器 的 刚才 配置 的 手动 代理 。 在 火狐 浏览 器 中 , 单 
击 右 侧 的 下 拉 杠 , 单 击 “选项 ”按钮 。 

(14) 在 “选项 ”界面 中 , 单 击 左 侧 的 “高 级 ”, 在 中 部 单 击 “ 网 络 ”, 在 界面 中 单 击 “ 设 
置 ”, 设 置 代理 。 

(15) 在 “连接 设置 "界面 中 , 勾 选 “使 用 系统 代理 设置 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,配置 
成 功 。 

4) 用 户 不 能 访问 盗 链 图 片 

(1) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导 航 栏 中 的 “Web 防护 ”~ “Web 防护 策略 ”, 在 “Web 防护 策略 ”界面 中 ,取消 勾 
选 “ 息 虫 防护 策略 “CSRF 防护 策略 “文件 下 载 策 略 ” 和 “文件 上 传 防护 策略 ”的 “启用 ” 复 
选 框 , 方 法 为 双击 防护 策略 ,取消 勾 选 “启用 ” 复 选 框 即 可 。 设 置 后 只 有 “ 盗 链 防护 策略 ”处 
于 局 用 状态 。 

(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 如 图 4-15 所 示 。 

(3) 打开 火狐 浏览 器 ,在 地 址 栏 中 输入 “http: //172. 16. 2. 102”, 单 击 “ 商 城 动态 ”中 
的 “ 盗 链 ”, 如 图 4-16 所 示 。 
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图 4-15 进入 虚拟 机 
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员 输 紫 码 | 品牌 案 电 | 时 尚美 食 | 早春 新 装 | 件 娘 礼 县 | 热 铺 畦 奖 | 吉政 手 红 | 情 但 饰品 | 美 肤 新 员 | 眼 者 术 理 | 被 才 防晒 | 保健 饮 葵 | 过 季 秋 装 
和 商 睹 动 页 nn 商品 分 类， 
| 呈 因 [21|3|[allsllell7|[lsel| | ..- 吕 胸 二流 
| 早 志 新 装 | 件 屿 礼服 


+ 网 亩 Eshop 5.5 隔 隆重 出 护 热 销 韩 奖 | 时 肖 专 时 
+ 网 壳 Eshop 5.5 隔 隆重 出 炉 .-- 花样 革 名 --- 


* 网 赣 Eshop 5.5 孤 隆重 出 炉 避 L 断 丑态 | 站 要 平民 
*# 网 赣 Eshop 5.5 卫 隆重 出 炉 情侣 饰品 | GUESS 新 蚁 和 锦 


--- 黄 寄 化妆 - . - 

Cy] Ear 美肌 新 吕 | 眼 者 护理 
购 祛 坑 防 吗 | 防 他 融 
物 .…- 品 哺 功 硒 . . - 
三 星 | 诺基亚 


图 4-16 ”Eshop 首页 


(4) 进入 “ 盗 链 ”页 面 后 ,不 能 看 到 图 片 ,初步 说 明 盗 链 防护 策略 有 效 , 如 图 4-17 
所 示 。 

(5) 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 “https: //172. 
16. 2. 110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输入 管理 员 用 
户 名 admin 和 密码 admin 登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导航 栏 中 的 “Web 防 
护 ” 一 “Web 防护 策略 ”。 在 “Web 防护 策略 ”界面 中 ,双击 “ 资 链 防护 策略 ”。 
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字 忻 站 护 辑 臣 杏 看 心 而 晶 匠 ] 


在 让 


“网 奇 ESHOP 商 城 购物 系统 于 


WWW.Wqeshop..ceom 
商城 首页 | 商品 分 类 | 精品 推荐 | 最 新 商品 打折 商品 | 执 铺 商品 | 报价 中 心 | 帮助 中 心 留言 茸 


晶 丞 起码 | 晶 性 察 电 | 时 尚 昌 韦 | 旱 志 新 装 | 伴 总 杞 服 | 热情 币 查 | 喜 要 季度 | 情 倡 饰品 | 甘 肤 精品 | 眼 望 仿 理 | 粮 堪 防晒 | 保健 饮 竺 | 过 达 秘 装 


[日 期 : 2018-01-05 09:1 


仿 村 就 说 天 
国内 兰考 付 教 


图 4-17 盗 链 页 面 


(6) 在 “编辑 Web 防护 策略 "界面 中 ,取消 勾 选 “局 用 ” 复 选 框 。 单 击 “ 保 存 ” 按 钮 ,在 
弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 打 开火 狐 浏 览 带 ,重新 访问 “http: //172. 16. 
2. 102”, 单 击 “ 商 城 动态 ”中 的 “ 盗 链 ”, 如 图 4-18 所 示 。 


”网 阁 . ET 商城 系统 v5_5--P… XX 


|》 DD 17 16.2 102 


网 疝 ESHOP 商 城 购物 系统 ~ 


WWWo WwWqeshopse.com 


员 屠 棋 码 | 品牌 察 电 | 时 尚 非 食 | 旱 夫 新装 | 伴 总 官 服 | 热 销 韩 装 | 夫 要 乎 诬 | 情 倡 饰 遇 | 美 就 新 品 | 眼 吉 忧 昌 | 镶 赃 防 机 | 保健 局 鞭 | 过 季 欧 装 


ETEE OS 
- 
* 网 盏 Eshiop 5.5 卫 隆重 出 炉 商品 展示 
* 网 再 Eshop 5.5 随 隆重 出 二 旱 喜 本 装 | 侍 鳅 灿 服 
# 网 亩 Eshop 5.5 孤 隆重 出 防 ,1 热情 韩 区 | 时 尚 气 对 
* 同调 Eshop .5J 隆 惠 出 陋 -.- 天 样 茧 得 - - . 
# 网 畜 Eshop 5 与 同上 隆 量 出 是 DL 新 到 态 | 吉 夏 季度 
+ 网 奇 Eshop 5.5 卫 险 盟 出 类 情 介 饰品 | GUES8 新 款 外 
:… 甘 容 北 娄 -… 
入 | 美 败 新 品 | 女 辑 迟 理 
购 桂 姑 防 郴 | 防 他 感 
--- 晶 聊 数码 --- 
三 星 | 诺基亚 


商品 分 类 ， 
GLE 


三 癌 T 攻 号 日 间 工 思考 


| 


--- 品 罗 女 法- -- 


图 4-18 ”Eshop 首页 


(7) 进入 “ 资 链 ” 页 面 后 , 资 链 图 片 正 常 显示 , 右 击 图 片 ,选择 “查看 图 像 ” 命 令 , 如 
4-19 所 示 。 
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喜 伴 下 ) 并 加 吕 ) 查看 古 ) 历 更 癌 ) 书 敬 人 ) 了 工具 CY) 帮助 三) 
盗 糖 -网 背 . JET 商 城 系统 v5.5--… 其 


和 | 1) 112 18. 2. 100/NessShow aspx? leesl 


网 疝 ESHOP 商 城 购物 系统 


WWW.Wqeshop.com 设 为 首页 | 收藏 氧 | 购物 车 | 简 | 蛇 | 葛 


商城 首页 | 商品 分 类 | 精品 推荐 | 最 新 商品 | 打折 商品 | 热 销 商品 | 报价 中 心 | | 家 助 中 心 | 留言 萌 


品 牧 全 码 | 品牌 寮 电 | 时 尚美 售 | 早春 新 装 | 伴 妨 礼 志 | 热 销 韩 奖 | 专 更 手 筑 | 情 倡 饰品 | 美 怠 晰 品 | 眼 者 炉 理 | 性 央 防 尊 | 保健 记 鞭 | 过 地 烤 装 


惫 的 位 置 ， 商城 首页 >> 新 闻 美 别 >>= 商城 动态 
向 商城 动态 


宁 商 咸 翅 高 可 链 
才 行 业 租 讯 

党 晶 导 支 装 暂 赂 [日 期 : 2018-01-05 09.18| 
中 莅 梯 鞠 息 管 章 

只 著 容 全 六 管 阐 

让 遇 胶 第 三 绾 阐 

字 蜗 牙 罕 电 管 痢 

卓 布 苦 床 届 害 洁 

他 灾变 健康 民 阁 

霉 了 时 尚美 章 寞 内 


复制 图 伯 位 ) 
复制 图 简 地 址 们 ) 


将 图 像 改 存 为 电 ]… 
用 邮件 发 送 图 片 地 )*… 
i 


图 4-19 盗 链 页 面 


(8) 出 现 图 片 ,地 址 栏 中 已 经 显示 此 图 片 来 自 另 一 网 站 ,属于 盗 链 图片 , 说 明 前 面 设 
置 的 规则 生效 ,符合 预期 要 求 , 如 图 4-20 所 示 。 


均 件 应 ) ” 锻 辑 区) 查看 让) 历 更 癌 ) 甩 得 语 ] 工具 TY) 帮助 册 ) 
15151147181 7 rnet FHG = 于 


lie. 1B. 2. 10 dat 


图 4-20 ”访问 危险 网 站 
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5) 成 功 防护 CSRF 攻击 

(1) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 “Web 防护 ”一 “Web 防护 策略 ”, 在 ”Web 防护 策略 ?界面 中 ,设置 只 
有 “CSRF 防护 策略 ”处 于 启用 状态 ,方法 前 面 已 经 介绍 过 。 

(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 如 图 4-21 所 示 。 


管理 机 ，10.0.0.*/24 
(以 实际 地 址 为 准 ) 


Web 服 务 埋 1:172.16.2.101 


GE1:10.0.0.1 a 
{©@ 一 


XX -x 
PC:172.16.1.1 Web 上 服务器 2:172.16.2.102 
一 
ss 
[一 = 
乙 


Web 服 务 器 3:172.16.2.10 


图 4-21 进入 虚拟 机 


(3) 打开 火狐 浏览 项 ,在 地 址 栏 输 入 "http: //172. 16. 2.101/DVWA/login. php”, 按 
Enter 键 进 入 DVWA 登录 界面 。 

(4) 本 实验 中 ,DVWA 的 默认 用 户 名 为 admin, 密 码 为 password。 在 Username 输入 
admin,Password 输入 password, 然 后 单 击 Login。 

(5) 进入 DVWA 平台 后 , 单 击 界面 左 侧 导航 栏 的 "DYWA Security”, 修 改 DVWA 
平台 的 安全 级 别 ,在 “Security Level” 中 选择 Low, 单 击 Submit 按钮 。 

(6) 再 单 击 界面 左 侧 导 航 栏 的 CSRF ,会 出 现 修改 登录 DVWA 平台 密码 的 界面 。 

(7) 不 要 关闭 上 述 页 面 , 单 击 任务 栏 的 “十 ”打开 一 个 新 标签 页 ,在 地 址 栏 输入 “http: 
//172.16.2.102/fun. html”, 该 贝 面 是 模拟 用 户 访问 的 危险 网 站 ,如 图 4-22 所 示 。 

(8) 不 击 主 页 面 ,选择 “查看 页 面 源 代码 ”查看 危险 网 站 的 源 代 码 ,“ 点 我 有 奖 ” 的 超 链 
接 实 际 上 是 发 送 修 改 DVWA 平台 密码 的 请 求 ,如 图 4-23 所 示 。 

(9) 返回 危险 网 站 界面 , 单 击 “ 点 我 有 奖 ”, 如 图 4-24 所 示 。 

(10) 出 现 %404 Not Found” 页 面 ,初步 说 明 CSRF 攻击 已 经 被 Web 应 用 防火 墙 拦 
截 ,如 图 4-25 所 示 。 

(11) 在 最 左 侧 PC 打开 浏览 大 ,在 地 址 栏 中 输入 防火 墙 产 品 的 IP 地 址 “https://172. 
16. 2. 110”( 以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 
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次 件 灾 ) ” 滞 辑 邓 ) ”和 甬 看 (W) 办 史 苞 ) 书本 四 ) 工具 I) 和 须 盈 同 ) 


http:rrl1T2. 186.2.102/fun htm  。 尖 十 


和 1 个 |172.16.2.102/fan. htn 


点 我 有 奖 


图 4-22 模拟 危险 网 站 


立 件 他) 红 辑 让] 查看 让 {历史 世 】 书 等 各) 工具 位 和夫 助 扣 


3kpassword_cont=123& hange=Change "> 局 我 有 奖 <7ay 


图 4-23 ”和 危险 网 站 源 代码 


允 件 邓 ] 蝙 辐 区 ) 查看 人 内 史 区 ] 书签 锯 ) 工具 CI) 项 助 山 ) 
http:/ /172.186.2.102/fon htn 其 


和 | 中 |172.16.2.102/fan htn 


点 我 有 奖 


图 4-24 单 击 “ 点 我 有 疾 ” 


次 件 企 )】 编辑 全 ) 查看 咯 ”历史 你 ) ” 书 敬 全 工具 民 ) 帮助 多) 


Ed valnerabilitv: Lross Sl 就 聘 404 Hot Found 舞 http: /127.0.0. 1/fumn, html 


( < | 172. 16.2. 101/TVA/ mlnerabilities/ csrf/ ?passsord new=123 EL. ] OD 6B.2.1017datalcomad: 3 它 ES 昌 合 全 


d404 Not Found 


4-25 ”拦截 页 面 


admin 和 密码 admin 登录 防火 墙 。 单 击 面 板 左 侧 导 航 栏 中 的 “Web 防护 ”>“Web 防护 策 
略 ”。 在 “Web 防护 策略 ”界面 中 ,双击 “CSRF 防护 策略 ”, 取 消 勾 选 “ 启 用 ” 复 选 框 , 单 击 
“保存 ”按钮 ,在 弹出 的 操作 成 功 界 面 中 单 击 “ 确 定 ” 按 钮 ,返回 "Web 防护 策略 ”界面 中 ,可 
见 策 略 成 功 被 禁用 。 

(12) 登录 实验 拓扑 中 最 左 侧 的 PC, 再 次 单 击 “ 点 我 有 奖 ” 链 接 , 如 图 4-26 所 示 。 

(13) 页 面 跳 转 至 DVWA 修改 密码 界面 ,并 且 显 示 “Password Changed”,CSREF 攻击 
成 功 ,DVWA 平 台 的 登录 密码 被 修改 为 123, 如 图 4-27 所 示 。 


211 


上 Web 应 用 防火 墙 技术 及 应 用 实验 指 隆 


充任 @。 辆 驾到 查看 W 历史 区 书 莹 的 工具 CT 帮助 辕 


http:rrlT2. 16.2. 1027fan htm CS 生 


和 | 0 172.16.2.1027fan htm 


点 我 有 次 


图 4-26 单 击 “ 点 我 有 奖 ” 


净 件 全 】 六 得 宇 】) 查看 VY 认 忠 入) 书签 向 】 工具 各) 大助 半 ) | -|D|x| 


Ch Yulrarabiliry: Cross Si 其 | Yanarabhility: Crnoss Si 其 后 


本， sm | 
攻 | EE | 172.18.2.200/ wlnerebilities/ esrf/ ?passyord ney=l23hpassw ord conf=123h he Ley 富 自 县 命 全 三 
“i 


i 一 个 或 考 个 已 守 拉 的 附加 组 忻 无 法 秆 过 部 证 并 已 针 镖 用。 详细 了 和 解 立 ] | 其 
DWWA) 
(WB) 


Fa Vulnerabllity: Cross Site Request Forgery (CSRF) 


nstructions | Change your admin password: 
Setuih | Reset DB 


Brmte Force | 

Command Injection | Confirm new passwword: 

File Inclusion | change | 

File Upload Password thansed. 

Insecure CAPTCHA | 

和 DL Injecdtion | lL 
Ee More Intormation 

SQL Injection 得 lin) | 


XSS (Reflected) | 


六 SS 入 tore 曲 | 


RN dv 一 一 -一 | 


Mew pasevotrd: 


图 4-27 ”CSRF 攻击 成 功 


(14) 在 地 址 栏 中 输入 “http: //172. 16. 2. 101/DVWA/login. php” ,返回 DVWA 平 
台 登 录 界 面 ,Username 输入 admin,Password 输入 123 , 单 击 Login, 如 图 4-28 所 示 。 


亲 忻 全 帮 辑 站 ) 看 | 而 史 性 ) 书 芍 年 ) 帮 且 总 ) 


其 | hitpitrla7.00 lfankhtnl i Login :: Doms Volnorab." 


USRTrnarme 


adrmim 


Password 


Gamh vulnerable Web Aapplication rOv Aa 


图 4-28 登 和 人 DVWA 


rp pa 
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(15) 成 功 登 录 , 说 明之 前 设置 的 策略 有 效 ,符合 预期 要 求 , 如 图 4-29 所 示 。 


文件 个 | ”六 辑 应 ) 查看 人 历史 多) 书签 ! 凶 ”工具 阅 ) 帮助 曾 “ey -Io|x| 


EE) Vlnerabilitw: Cross Sn 


-1 - 
\* A 1T2.18.2.10L/D Wh inder. php 


Home 


lnstructions 


Setup Reset DB 


Brute Force 
Command Injection 
CSRF 

File Inclusion 

File Upload 
Insecure CAPTCHA 


SQL Injection 


6) 成 功 拦截 ICMP 攻击 


扰 聘 404 Hot Found 所 | http: le2T7 .DOD Tan htnl 其 | Welcome 2: Damn Vulner""" 其 


说 | 自 加 时 会 全 


Welcome to Damn Vulnerable Web Application! 
Damn vulnerable Web Application (DVNVA) 1s a PHP /NM SQL web application that Is damn vulnerable. ts 


goal is to be an aldfor secunty professionals to test their skills and tools In a legqal enwronment help et 
developers better understand the processes of secuyring web applications and to ard both students & tearc 
learn about web applicalion security in a controlled class room environment. 


The alm of DVB Is to practice some of the most common web vulnerabilities, vith various lewvls 
difficulthy, with a simple straightforiward interface. 


General INstructions 


ltis up to the user how ihey approach DWVa,. Either by wworking through every rmodule at afixed lewel, pr 
selecting any module and working up to reach the highest level they can betore moving onto the next ohe 
is not a fixed objectto complete a module; however users should feel that they have successtully explyite 
system as best as they possible could by using that particular wulnerability. 


图 4-29 ”成功 登录 


(1) 在 最 左 侧 PC 打开 浏览 各 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172. 16. 2. 110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDoS 防护 策略 ”, 在 “DDoS 防护 策略 ”界面 中 ,只 


启动 <ICMP 防护 策 虹 


消 勾 选 其 他 策略 的 “启动 " 复 选 框 ,设置 完 毕 。 


(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 进 入 虚拟 机 ,如 图 4-30 所 示 。 


PC:172.16.1.1 


@ 


管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


= 
| 
| 一 
- | Web 服 务 器 1:172.16.2.101 
Ey 
GE2 [os GE3 /3 \ 3 
a ee 


Web 上 服务 兹 2:172.16.2.102 


Web 服 务 硕 3:172.16.2.10 


图 4-30 ”登录 左 侧 虚拟 机 


”方法 为 双击 策略 ,只 勾 选 <ICMP 防护 策略 ”的 “启动 ” 复 选 框 , 取 
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(3) 在 虚拟 机 双击 桌面 的 “IPAnalyse. exe”, 在 软件 界面 中 , 单 击 三 角形 绿色 按钮 , 开 

(4) 单 击 “开始 ”命令 提示 符 ”, 在 “命令 提示 符 ? 界 面 中 ,输入 命令 “ping 172. 16. 2. 
101” 后 按 Enter 键 , 如 此 反复 10 次 。 

(5) 在 数据 抓 包 软件 (如 网 路 岗 抓 包工 具 ) 界 面 中 可 见 抓 到 的 数据 包 , 单 击 “ 文 件 ” 一 
“保存 为 ,在 弹出 的 "另存 为 ?界面 中 ， 保 存在 ?设置 为 “条 面 ?“ 文 件 名 ?输入 packagel， 
其 他 保持 默认 配置 。 单 击 “ 保 存 ” 按 钮 ,在 果 面 可 见 保 存 成 功 的 数据 包 。 

(6) 返回 “网 路 阅 抓 包工 具 ” 界 面 , 单 击 “文件 ”一 “IP 包 回 放 ”, 在 弹出 的 “打开 ”界面 中 单 
击 “packagel. tcap”。 单 击 “ 打 开 ” 按 钮 ,在 弹出 的 “ 包 回 放 -packagel. tcap” 界 面 中 , 单 击 “ 开 始 ” 
按钮 ,反复 10 次 。 此 工具 还 处 于 抓 包 状态 ,“ 包 回放 ”操作 发 送 的 数据 包 都 会 被 抓 取 到 。 

(7) 关闭 “ 包 回 放 -packagel. tcap”,; 人 返回 “网 路 岗 抓 包工 具 ” 界 面 ,此 时 工具 已 经 抓 取 
了 一 个 巨 量 数据 包 。 单 击 " 文 件 ? 一 ”保存 为 ”, 在 弹出 的 “另存 为 ?界面 中 ， 文 件 名 ”输入 
package2 ,其 他 保持 默认 配置 。 

(8) 单 击 “保存 ?按钮 , 即 在 桌面 生成 了 一 个 巨 量 的 数据 包 文 件 , 将 它 作 为 ICMP 
Flood 攻击 的 回放 数据 包 。 

(9) 返回 “网 路 岗 抓 包工 具 ? 界 面 , 单 击 " 文 件 ? 一 “IP 包 回 放 ”, 在 弹出 的 “打开 ”界面 
中 ,选择 "package2. tcap”。 单 击 “ 打 开 ” 按 钮 ,在 弹出 的 “ 包 回 放 -package2. tcap” 界 面 中 ， 
单 击 “ 开 始 ?按钮 ,成 功 发 送 巨 量 数据 包 。 

(10) 在 最 左 侧 PC 打开 浏览 项 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 卫 地 址 
“https: //172. 16. 2. 110”( 以 实际 设备 人 地址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 输 
人 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 
侧 导 航 栏 中 的 ”日志 系 统一 ”DDoS 日 志 ”。 在 “DDoS 日志” 界面 中 可 见 下 策略 处 理 的 数据 
包 。 如 没有 出 现 拦 截 记 录 , 可 能 是 系统 繁忙 的 原因 ,请 耐心 等 每 结果 ,如 图 4-31 所 示 。 


需 主页 面 十 DDes 日 二 | 条 sz | | | | sx | | mi 


将 9 手 综 配置 拇 页 吕 示 | 15 ， 

局 ”网 将 管理 | 日期 和 时 间 设备 名 律 入 屿 IP 入 侵 端 口 ”被 攻击 IP 被 攻击 ,.， 协议 类 型 攻击 类 理 处 理 ..。 次 数 
问 “上 服 基 器 区 理 I 2018-01-05 Ea ec 172.16.1.1 2 EE 2 LEP [CMP Flead 备 充 二 3 
生 ， 基 配对 尔 当前 1 - 1 ,总共 工 对 记录 

则 Web 防 护 

十 ”安全 情报 中 心 

吕 ”访问 控制 

个 ”网 而 防 丢 政 

品 ， 扫 搞 句 

全 DDos 防 护 


十 网 站 云 防 护 


备份 日 证 

市 计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 

网 页 防 苞 改 日 志 


图 4-31 “DDoS 日 志 ” 界 面 
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(11) 双击 选中 的 记录 ,在 弹出 的 “细节 ?界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 
“ICMP Flood”， 协 议 类 型 ”为 "ICMP”, 符 合 预期 要 求 , 如 图 4-32 所 示 。 


细节 


日 志 许 细 信 息 


拦截 时 间 :2018-01-05 15:57:35 


攻 雷 者 攻击 目标 
172.16.1.1:512 172.16.2.101:2048 


DDoS 防 护 策略 
DDoS 防护 规则 ICMP Flood 玫 击 咏 护 -JCMP 防 护 策略 
处 理 动作 丢弃 严重 级 别 中 银 
协议 类 型 ICMP 攻 去 类 型 
其 他 
其 他 
其 他 
对 方 和 称 在 同一 内 部 网 


图 4-32 “细节 ”界面 


7) 成 功 拦 截 TCP DDoS 攻击 
(1) 在 最 左 侧 PC 打开 浏览 右 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导 航 栏 中 的 “DDoS 防护 ”一 ”“DDos 防护 策略 ”, 在 “DDos 防护 策略 ”界面 中 ,只 
启动 “TCP 防护 策略 ”。 
(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 PC, 进 入 虚拟 机 ,如 图 4-33 所 示 。 
管理 机 : 10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


S 
一 
S 
口 
OO 


a 
[可 
3 


PC:172.16.1.1 


Webh 服 务 器 3:1 72 1672 ] 人 
图 4-33 ”登录 虚拟 机 
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(3) 在 虚拟 机 双击 昌 面 的 LOIC. exe, 在 软件 界面 中 ,输入 IP 为 “172. 16. 2. 101”, 单 
击 IP 右 侧 的 “Lock on”, Method 设置 为 TCP, 输 入 Threads 为 1000, 其 他 保存 默认 配置 。 

(4) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 TCP 攻击 。 

(5) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172.16.2.110”( 以 实际 设备 IP 地 址 为 准 ), 进 入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 “日 志 系 统 ” 一 “DDoS 日 志 ”。 在 “DDoS 日 志 ” 界 面 中 ,可 见 TCP 策 
略 处 理 的 数据 包 记 录 。 如 没有 出 现 拦截 记录 ,可 能 是 系统 繁忙 的 原因 ,请 耐心 等 竺 结果 ， 
如 图 4-34 所 示 。 
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图 4-34 “DDoS 日 志 ” 界 面 


(6) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详 细 信 息 :“ 攻 击 类 型 ?为 “TCP 
端口 扫描 ”,“DDoS 防护 策略 ”为 “TCP 防护 策略 ”, 符 合 预期 要 求 , 如 图 4-35 所 示 。 

8) 成 功 拦截 UDP DDoS 攻击 

(1) 在 最 左 侧 PC 中 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 “DDoS 防护 ”>“DDoS 防护 策略 ”, 在 “DDoS 防护 策略 ”界面 中 ,只 
局 动 *UDP 防护 策略 ”, 如 图 4-36 所 示 。 

(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 的 PC, 如 图 4-37 所 示 。 

(3) 在 虚拟 机 双击 梨 面 的 LOIC. exe, 在 软件 界面 中 ,输入 IP 为 “172. 16.2.101”, 单 
击 IP 右 侧 的 “Lock on”, Method 设置 为 UDP, 输入 Threads 为 1000 ,其 他 保存 默认 配置 。 

(4) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 UDP 攻击 。 

(5) 在 最 左 侧 PC 打开 浏览 絮 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
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细节 


日 志 详 细 信 息 


拦截 时 间 :2017-12-30 23:35:29 


攻击 者 攻击 目标 
172.16.2.100:3862 172.16.2.101:80 


DDoS 防护 策略 
DDos 防 护 规 则 闫 口 扫 湛 防护 -Default 
处 理 动作 丢弃 中 腊 
Teb 击 二 TCP 靖 凯 扫 摘 
其 他 
其 他 
其他 
对 方 和 总 在 同一 内 部 网 
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图 4-35 “ 细 世 般 面 
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J Web 肪 护 


安全 情报 中 心 


加 ”访问 控制 


四 网页 防 复 政 


了 拉 措 器 


已 Das 防护 第 醇 
巴 Dos 防 护 模 板 
已 Dog 防护 规则 


”网 站 云 防护 


时 日志 秒 统 


图 4-36 设置 策略 的 启动 状态 


“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 “日 志 系 统一 “DDoS 日 志 ”。 在 “DDoS 日志 ”界面 中 ,可 见 UDP 策 
略 处 理 的 数据 包 记 录 。 如 没有 出 现 拦截 记录 ,可 能 是 系统 繁忙 的 原因 ,请 耐心 等 待 结 果 ， 
如 图 4-38 所 示 。 
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4-38 “DDos 日 志 ” 卉 面 


(6) 双击 选中 的 记录 ,在 弹出 的 “细节 ”界面 中 ,可 见 详细 信息 :“ 攻 击 类 型 ”为 “UDP 
Flood”,“DDoS 防护 策略 ”为 "UDP 防护 策略 ”, 符 合 预期 要 求 , 如 图 4-39 所 示 。 

9) 成 功 拦截 HTTP DDoS 攻击 

(1) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
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细节 


日 志 详 细 信 息 


拦截 时 间 :2017-12-31 10:27:55 


攻 二 者 攻击 目标 
172.16.2.100:1144 172.16.2.101:80 


DDosihp 和 号 


DDos 防 护 规则 UDP Flood 攻 韦 防 沪 -UDP 防 护 规则 
处 理 动作 丢 鞠 严重 级 别 中 级 
UDP 攻 主 类 型 
其 他 
其 他 
其 他 
对 方 和 您 在 同一 内 部 网 


图 4-39 “细节 ?界面 


面板 左 侧 导航 栏 中 的 “DDoS 防护 ”一 “DDos 防护 策略 ”, 在 “DDoS 防护 策略 ”界面 中 ,只 
启动 “HTTP 防护 策略 ”。 
(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 的 PC, 如 图 4-40 所 示 。 


管理 机 : 10.0.0.*/24 
(以 实际 JP 地址 为 准 ) 
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Web 服 务 故 3:172.16.2.10 


图 4-40 登录 虚拟 机 


(3) 在 虚拟 机 双击 桌面 的 LOIC. exe, 在 软件 界面 中 ,输入 IP 为 “172. 16. 2. 101”, 单 
击 IP 布 侧 的 “Lock on”, Method 设置 为 HTTP, 填 人 Threads 为 1000, 其 他 保存 默认 
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外 者 。 


(4) 单 击 “IMMA CHARGIN MAHLAZER” 按 钮 ,开始 HTTP 攻击 。 


本 Web 应 用 防火 墙 技术 及 应 用 实 


验 指导 


(5) 在 最 左 侧 PC 打开 浏览 圳 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172. 16. 2. 110”( 以 实际 设备 卫 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 


面板 左 侧 导航 栏 中 的 “日 志 系 统 ” 一 “DDoS 日 


-3 


i a 


策略 处 理 的 数据 包 记 录 。 如 没有 出 现 拦 截 记录 ,可 能 是 系统 繁忙 的 原因 ,请 
果 , 如 图 4-41 所 示 。 


十 “安全 情报 中 心 


鱼 ” 访 问 控制 
四 网 页 防 莫 改 
忆 ， 扫描 器 
于 DDos 防 护 


十 网 站 云 防护 


备份 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DDes 日 志 


网 页 防 得 改 日 志 


站。 分 析 系 统 


可 系统 该 斯 


(6) 双击 选中 的 记录 ,在 弹出 的 “细节 ?界面 中 ,可 见 话 细 信息 


本 DDo5 日 志 


各 而 时 示 15 " 


| | 日 期 和 时 间 


[| 2017-12-31 10:3... 

[| | 2017-12-31 1033... 

[| | 2017-12-31 10:3... 

[ ] 2017-12-31 10:3... 

[| 2017-12-31 10:3,.., 

L | | 2017-12-31 10:3... 

[] | za017-12-31 10:3... 

[| 2017-12-31 10:3..， SecCy 
[| 2017-12-31 10:3.., 

| | | 2017-12-31 10:3.., 

[| 2017-12-31 10:3... : 
[| 2017-12-31 10:3... 

| | 2017-12-31 10:3.., 

[ ] | 2017-12-31 10:3.., Sectr 


当前 1 - 15, 总共 211 大 记录 


Ta.16.2.100 
a16.2.100 
Ta16.2.100 
Tia16.2.100 
T62100 
Ta16.2.100 
a16.2.100 
T2162.100 
Tele2.100 
Na,16.2,100 
T2162.100 
Ta16.2.100 
Na,16.2,100 


T2156.2.100 


图 4-41 


172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
17a,16.2,.101 
1r2,16.2,.101 
2.16.2.101 
172.16.2.101 
1r72.16.2.101 
172.16.2.101 


“DDoS 日 志 ” 寞 面 


HTTP Fland 
HTTP Faod 
HTTP Flood 
HTTF Flood 
UDP Flocd 
UDP Flocd 
UDP Flood 
UDP Flocd 
UDP Flocd 
UDP Flocd 
UDP Flocd 
UDP Flocd 
UDP Flocd 
UDP Flocd 


在 “DDos 日 志 ” 界 面 中 ， 可 见 见 HTTP 


了 硅 心 等 待 结 


三 admin 上 四 退出 


| 条 从 | | 请 | sx | | Re 


:“ 攻 击 类 型 ?为 "HTTP 


Flood”,“DDoS 防护 策略 ”为 “HTTP 防护 策略 ”等 ,符合 预期 要 求 , 如 图 4-42 所 示 。 


10) 用 户 不 能 下 载 PHP 和 EXE 格式 的 文件 


(1) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 


面板 左 侧 导航 栏 
有 “文件 下 载 策 略 ? 处 于 启用 状态 ,方法 前 面 已 双 


(2) 登录 实验 平台 中 对 应 实验 拓扑 中 最 左 侧 pe 4-43 所 示 。 


(3) 打开 火狐 浏览 右 , 在 地 址 栏 


进入 Discuz 论坛 首页 ,如 图 4-44 所 示 。 
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:中 的 “Web 防护 ”>“Web 防护 策略 ”, 在 “Web 防护 策略 "界面 中 ,设置 只 
么 介绍 过 


输入 “172. 16. 2. 101/discuz/forum. php”, 按 Enter 键 


Fag 第 4 和 齐 Web 应 用 防火 墙 综合 实验 ”wa 


日 志 详 细 信 息 


拦截 时 间 :2017-12-31 10:34:40 


攻 去 者 攻击 目标 
172.16.2.100:1819 172.16.2.101:80 


DDoS 防 护 第 略 HTTP 防 护 第 路 
DDos 防 护 规则 HTTP Flood 攻 击 防 护 -HTTP 防 护 规 则 
处 理 动作 封禁 严重 级 别 中 级 
其 他 
其 他 
其 他 
对 方 和 你 在 同一 内 部 网 


Py IE 


图 4-42 “细节 ”界面 


管理 机 :10.0.0.*/24 
(以 实际 IP 地 址 为 准 ) 


中 


Web 服 务 辫 1:172.16.2.101 


Se 


| GE1:10.0.0.1 | 
G - 吉 


Ng 


Web 服 务 申 2:172.16.2.102 
PC:172.16.1.1 服务 密 


Web 服 务 如 3:172.16.2.10 


图 4-43 进入 虚拟 机 
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宴 件 正 ) 师 司 应 ) 查看 站) 惫 旧 个) ” 书生 全 ) 工具 订 ) 牧 助 0) 


聘 [ 伦 坛 = Powarad by Diseuzl X Ws 


着 合 疝 ; admin 


Discuez! 


4-44 Discuz 论坛 首页 


(4) 在 “用 户 名 ”处 输入 admin, “密码 ”处 输入 admin, 单 击 “ 登 录 ” 按 钮 。 然 后 在 弹出 
的 验证 窗口 中 按 要 求 输入 “验证 码 ”, 单 击 “ 登 录 ? 按 钮 ,如 图 4-45 所 示 。 


立 件 中 1 编 往 眉 ) 查看 向 ) 历史 多) 书 狂 人 二) 工具 民 ) 天 助 iH1 


CE 1 01 Di seu Eoruam., php 


设 为 站 页 履 忒 相关 


“人 社区 动力 
DISCUZ! 


请 辆 处 搜索 向 容 热 搜 : 活动 葡 点 discuz 
让 坛 
他 日 :0 | 有 昨日: 1 | 帖子 : 1 | 会 员 ; 1 | 玖 迎新 会员 ; admin 
Discue! 


PHP、EXE 如 件 下 和 载 
半 小 时 前 admin 


| 点 让 秘 块 LL 让 和 


在 硅 会 员 -工人 在 线 -0 会 员 (O 隐身 ), 1 储 游 客 - 最 高 记录 是 1 于 2017-12-31. 


图 4-45 登录 Discuz 


(5) 登录 完成 后 , 单 击 “默认 版 块 ” 中 的 帖子 “PHP、EXE 文件 下 载 ”, 如 图 4-46 
所 示 。 

(6) 帖子 里 存放 有 PHP 和 EXE 类 型 文件 ,如 图 4-47 所 示 。 

(7) 单 击 test2. exe, 弹 出 “页 面 载 人 出 错 ? 的 页 面 , 初 步 说 明 EXE 格式 文件 的 下 载 已 
被 拦截 ,如 图 4-48 所 示 。 
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世人 忻 全 ) 编辑 偿 ) 查看 所 史 从) 书 黎 虽 ) 工具 tI) 各 助 (H) 


做 坛 ~- Fowered by Diseur! 其 恒 E 


( ED | 172.16.2. 1017Disearrforan php 


误 为 首页 收藏 本 站 


社区 动力 admin 征 线 | 我 的 ”| 译 置 | 请 息 | 提醒 | 模块 官 理 


DISCUZ I 各 分; 5 


垫 搜 : 活动 葛 友 discuz 


今日 :0 | 昨日 : 1 | 帖子 : 1 | 会 员 : 1 | 鸡 迎 新 会 员 ; admin 


Discuz! 


默认 印 块 


在 线 会 员 - 2 人 在 线 - 1 会 员 {0 隐身 ), 1 芷 游客 - 最 高 记录 是 2 于 2017-12-31. 


图 4-46 进入 帖子 


节 忻 三 ] 编辑 偿 ) 查看 0” { 历 史 谷 ) 书签 倡 ) 具 立 ) ”大助 出 ) 


FJ、EXE 亲 人 忻 下 载 - 默 让"… 其 


| 他 】 人 172. 18.2.101/Discur forum. phy?rmod=viewthreadtid1l#astpost 


有 发表 于 1 小 时 前 | 只 看 该 作者 


I” | test2,exe [27 Bytes, 下 载 侈 数 ; 0) 


/> | testlphp (27 Bytes, 下 载 次 数 : 0) 


l 让 5 
主题 ”帖子 | 积分 
管理 员 

© 

nn 司 

IP 编辑 茜 止 帖子 请 理 


172. 1B. 2.1017Discur forum. phprmod=forumidi spl aytfi d=2 


4-47 ”帖子 内 容 界 面 
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-= fi 172. 16. 2, 101 /Diseur/ forum., php?mod= 才 bn emt d= 国 R Ca | 中 搜索 


连接 航 重 置 


载 入 页 面 时 与 服务 器 的 连接 被 重 置 。 


。 此 站 点 暂时 个 可 用 或 者 六 忆 。 博 宵 后 再 试 。 
。 如 果 您 无 法 载 入 任何 页 面 ， 请 检查 您 计算 机 的 网 络 连 接 。 
如果 您 的 计算 机 或 网 络 受 到 防火 墙 或 者 代理 服务 器 的 保护 ， 请 确认 Firefox 己 被 授权 访问 网 络 。 


图 4-48 “页 面 载 人 出 错 ? 页 面 之 一 


(8) 返回 原 页 面 , 单 击 testl. php, 弹 出“ 页面 载 人 出 错 ?” 的 页 面 , 初 步 说 明 PHP 格式 
文件 的 下 载 已 被 拦截 ,如 图 4-49 所 示 。 


七 | 个)| 172.16.2.1017Diseuzrforum. php?mod=-attackhment 血 ai dh 加 六 | 和 帕 及 和合 


连接 航 重 四 


载 六 页 面 时 与 服务 器 的 过 接 被 重 置 。 

s 此 下 点 蕴 时 不可 用 或 者 矿 。 二 烛 后 再 庄 。 

s 如 果 您 无 法 载 六 任何 页 面 ， 请 检查 您 计算 机 的 网 络 连接 。 

* 0 果 您 的 计算 机 或 网 络 受 到 防火 墙 或 者 化 理 服 务 器 的 保护 ， 博 确 训 Firefox 已 被 授权 访问 网 络 。 


图 4-49 “页 面 载 人 出 错 ” 页 面 之 二 


(9) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 防火 墙 产 品 的 下 地 址 “https: //10. 0.0.1” 
(以 实际 设备 IP 地 址 为 准 ) ,进入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
admin 登录 防火 墙 。 单 击 面板 左 侧 导航 栏 中 的 ”Web 防护 ”一 “Web 防护 策略 ”。 在 “Web 
防护 策略 ”界面 中 ,双击 “文件 下 载 策 略 ”。 

(10) 在 “编辑 Web 防护 策略 ”界面 中 ,取消 勾 选 “启用 ” 复 选 框 。 单 击 “ 保 存 ” 按 钮 ,在 
弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 

(11) 返回 实验 平台 中 对 应 实验 拓扑 中 左 侧 的 WXPSP3, 在 网 站 页 面 中 单 击 test2. 
exe, 然 后 在 弹出 的 提示 窗 中 单 击 “保存 文件 ?按钮 , 单 击 “确定 ?按钮 ,成 功 下 载 EXE 类 型 
文件 ,如 图 4-50 所 示 。 

(12) 单 击 testl. php, 然 后 在 弹出 的 提示 窗 中 选择 “保存 文件 ”, 单 击 “ 确 定 ” 按 钮 ,成 
功 下 载 PHP 类 型 文件 ,说 明之 前 设置 的 策略 有 效 ,符合 预期 要 求 , 如 图 4-51 所 示 。 
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区 件 正 ] ” 疆 辑 站 查看 站) 成 史 售 ) 书 黎 语 ) 了 工具 并 科 助 以) 国 回 况 


闫 | 十 
€ 】 | 1T2. 1B. 2. 101/1i seunz Foruan. phpermotwi ewthraadht1d=1#] nstporst 二 | 洛 全 = 


四 
和 发表 于 1 小 时 前 | 只 看 该 作者 上 楼 主 电梯 直 ” 


PHF。 XE 六 人 忻 下 载 - 默认 内 页 面 哉 上 出 错 其 | 站 页 面 规 关 出 错 


正在 打开 ELESEZEEE 


壤 选 择 了 打 了 于: 
入 | testlphp (27 Bytes, 下 载 次 数 ; 0) pe test?. exe 


也 忻 著 型 ; Binary File 氏 7 字 节 1 
有 来 源 : http: 172. 16.2.101 


您 想 村 悍 存 此 立 件 吗 ? 
王 题 ”帖子 积分 
EEE] | 
管理 员 
国信 
a 5 
IF 编辑 芒 止 帖子 请 理 


妆 件 人 应)” 呢 辑 主 | ”查看 邮 ) 认 史 总 ] 书签 在) 工具 立 ] ” 禾 助 六 
泗 ?EF 焉 交 件 下 载 - 默认 … 基 bs; 


一 
| 攻 | i | 72.168, 2.101 /Tisceur forum, phprmid=riesthreaddtid=1#astpost 
,he, 


四 发 表 于 1 小 时 前 | 号 看 该 作者 ， 


国 teste ,exe (2 ByteEs， 下 载 次 阁 ， D1 正在 打开 test 1. php 


您 迹 择 了 打开 : 


testl. php 
也 忻 装 型 ; php Fils 忆 7 字 节 ) 
来 源 : http: i172.18.2.101 


主题 ”帖子 念 想 要 Firefox 加 问 处 理 此 立 件 归 
站 打开 ,通过 吕 ) 

管理 员 

岛 四 立 

积分 5 

全 蝙 辑 禁止 帖子 请 理 


4-51 下 载 TXT 文件 


11) 用 户 不 能 上 传 PHP、EXE 和 HTML 格式 的 文件 

(1) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产 品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导 航 栏 中 的 ”Web 防护 ”一 ”Web 防护 策略 ”, 在 ”Web 防护 策略 ”界面 中 ,设置 只 
有 “文件 上 传 策 略 ” 处 于 启用 状态 ,方法 前 面 已 经 介绍 过 。 

(2) 登录 实验 平台 中 对 应 实验 拓扑 最 左 侧 的 PC, 如 图 4-52 所 示 。 

(3) 在 虚拟 机 打开 下 浏览 器 ,在 地 址 栏 中 输入 “172. 16. 2. 101/DVYWA ”后 按 Enter 键 ， 
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管理 机 ，10.0.0.*/24 
(以 实际 了 地址 为 准 ) 


=== 


Web 服 务 郁 1:172.16.2.101 


GE1:10.0.0.1 


GE2 = GE3 一 
CS — 


Web 服 务 器 2:172.16.2.102 
PC:172.16.1.1 eb 服务 器 


Web 服 务 器 3:172.16.2.10 


图 4-52 登录 虚拟 机 


访问 网 站 。 在 首页 登录 界面 中 ,输入 Username 为 admin,Password 为 password 。 

(4) 双击 Login 按钮 ,如 采 浏 览 副 弹出 确认 框 , 单 击 " 是 ”按钮 。 在 跳 转 到 的 页 面 中 单 
击 “DVWA Security”。 在 跳 转 到 的 页 面 中 ,选择 low。 单 击 Submit, 可 见 网 站 的 安全 级 别 
为 low。 

(5) 单 击 左 侧 的 “File Upload”, 在 跳 转 到 的 页 面 中 单 击 “ 浏 览 ” 按 钮 。 在 弹出 的 “文件 
上 传 ” 界 面 中 , 单 击 “ 桌 面 " 的 testl. php;, 单 击 “ 打 开 ” 按 钮 ,如 图 4-53 所 示 。 


查找 范围 和 :| 国 桌面 

图 我 的 文档 

是 我 的 电脑 

全 网 上 邻居 

谍 Norilla Firefox 

器 IpTeol 抓 包工 具 
回 实 驻 工 具 

5 Burp Sulte Free Edition 


es 


文件 名 加 om | 
文件 类 型 @T): 取消 


4-53 选择 文件 


(6) 返回 页 面 , 单 击 Upload 按钮 ,如 图 4-54 所 示 。 
(7) 页 面 显示 失败 信息 ,初步 说 明文 件 上 传 失 败 , 如 图 4-55 所 示 。 
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辫 件 他) 时 独 芭 1 查看 个 历史 司 ] 书 演 着] 工具 各) 和 必 助 信 ) 


Talnerahility: File lrl 和 对 


只 Ci | Te 16. 2.10] DYYA ninerabhiliti es nr oad 


T | Vulnerability: File Upload 


Instructions | Choose an image to upload: 


setup Reset DB | 
testl.php 


Brute Force 

一 一 一 一 

Conmmand Injecuion 

CRF | E 
More Ihnformation 

File Imclusion | 

Insecure CAPTCHE | 

sOL lnjection | 

$0L lnjection {Blindl | 

Waeak Sessiaon |De | 

X55 {DOM | 

X55 (Reflected | 


图 4-54 上 传 文件 testl 


也 件 正 ) 蝙 辑 主 ) 查看 家 ] 万 中 后) 书 等 重工 具 并 天助 届 ) 


404 Hot Fomma 十 


人 让 172, 1B.2,101/D Mh mr biliti espl cal 由 加 f 捍 考 


404 Not Found 


图 4-55 ” ”上传 文 件 testl 失败 


(8) 重新 跳 转 到 文件 上 传 页 面 , 上 传 果 面 的 test2. exe, 单 击 Upload 按钮 ,如 
图 4-56 所 示 。 


站 件 中 |] 编 模 下 1 查看 六 有 浪 守候 ) 书签 曙 ) 工具 全 ) 天 助 x) 


国 和 minarshilityr， File lp1… ¥ 


生 | 中 上 1Te. 18.2. 101 TV ner abiliiios, upl ead! 


I Vulnerability: File Upload 


Instnrctio ns 本 
Chonse an image to Upload: 


| 剂 览 ,，| test2 exe 


selup: Reset DB 


Bruite Force 
一 一 一 一 一 一 一 一 一 


Command Injection 


万 针 REF jE 
More Information 


File Inelusion 
Fieupal 
Insecure CAPTCHA 

SOL Injection 

SOL Injection [Blind} 
Weak Seasion IDs 

基本 号 DOM) 

X55 Reflected) 


图 4-56 上传 文件 test2 
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(9) 页 面 显示 失败 信息 ,初步 说 明文 件 上 传 失 败 , 如 图 4-57 所 示 。 


立 件 让 篇 组 站 1 查看 站 1 ” 赎 中 芒 7 书签 钊 1 工具 这] 帮助 证 ) 


4D4 Hot Found 


入 i | 172.16. 2, 101 /DV A al nerabilitioc/uplo dt Ly | | 心 搜索 


404 Not Found 


图 4-57 上 传 文件 test2 失败 


(10) 重新 跳 转 到 文件 上 传 页 面 , 上 传 桌面 的 test3. html, 单 击 Upload 按钮 ,如 
图 4-58 所 示 。 


国 Vn ility: Fils Yel 当 了 


全 只 | i 1Te., 1B.2, OL /WA ml nerabiliti es urlnad 


Homae | 


Instructions | 


setup ’ Reset DB | 


Brute Force | 

tonmimand lnjection | 

亡 人 RF | 了 
More Information 

File Inclusion | 


Insecure CAPTCHA | 
sOL Injection | 
SOL Injaction (Blind) | 
Weak Session IDs | 
55 (DOM) | 
as5 [Reflectedh | 


4-58 上传 文件 test3 


(11) 页 面 显示 失败 信息 ,初步 说 明文 件 上 传 失 败 , 如 图 4-59 所 示 。 
也 忻 区】 编辑 证 ) 查看 人 认 史 站 ) 书 谷 全) 了 工具 民 ) 和 攻 助 以) 


404 Hot Found 


(|) T2182. 101 DW lnerabilities/upload/# 全 心 , 搜索 


404 Not Found 


图 4-59 上 传 文件 test3 失败 


(12) 在 最 左 侧 PC 打开 浏览 器 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 
“https: //172. 16.2.110”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 
输入 管理 员 用 户 名 admin 和 密码 admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 
面板 左 侧 导航 栏 中 的 ”Web 防护 ”>“Web 防护 策略 ”。 在 “Web 防护 策略 ”界面 中 双击 
“文件 上 传 防 护 策 略 ”。 
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(13) 在 “编辑 Web 防护 策略 ”界面 中 ,取消 勾 选 “局 用 ” 复 选 框 ,其 他 保持 默认 
了 和 直 。 

(14) 单 击 “ 保 存 ” 按 钮 ,在 弹出 的 配置 成 功 界面 中 单 击 “ 确 定 ” 按 钮 。 登 录 实 验 平 台中 
对 应 实验 拓扑 最 左 侧 的 PC, 进入 虚拟 机 。 在 虚拟 机 的 浏览 各 中 ,重新 跳 转 到 之 前 的 文件 
上 传 页 面 , 上 传 果 面 的 testl. php, 单 击 Upload 按钮 ,如 图 4-60 所 示 。 


和 | Vulnerability: File Upload 
netuctions | Choose an mage to upload: 
Setup!: Reset DB | 


Brnuts Force | 

Command Injection | 
CSRF | 
File Inelusion | 
FleUpload 
SOL Injection {Blindl | 
Weak Session IDs | 
(DOM) | 
5 Reflected | 


浏览,,，| test1 .hp 


More Information 


图 4-60 ”再 次 上 传 文件 testl 


(15) 成 功 上 传 文件 ,如 图 4-61 所 示 。 


Ylnerability: File Upl… 和 Ms 


Ci Ta. IE. 2. 101/1VW hl nerabilitieorln 


Heme | 
nswuctions | Choose an image to upload: 
sehp: Reset DB | 
未 选择 交 性 。 


Comimand lnjection | 
CSRE | 
File Imelusion | 


Brute Force | rm 
ae 


More Information 
Insecure CBAPTCHA | 


$0L Injection | 
30L Injection [Blind | 
Weak Session IDs | 
Xs DOM) | 
Rs eflecte 小 | 
, TT 


图 4-61 成 功 上 传 文件 testl 
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(16) 重新 跳 转 到 之 前 的 文件 上 传 页 面 , 上 传 昌 面 的 test2. exe, 单 击 Upload 按钮 ,如 
图 4-62 所 示 。 
站 件 跨 ) 咏 辑 里 ) 查看 人 ”历史 人 氏 ) 书 得 证] 工具 全) 藉 助 出) 


Vulnerability: File lp1… X 县 


人 ni 1T72.16.2.101/DYWA lnerabilities/upload/# 


i Vulnerability: File Upload 


Instructions | Choose an image to upload: 
Setup Reset DB | 


4 || test2.exe 


Brute Force | 

Command Injection | 

CSsRF “hackable/uploads/testl.php succesfully uploaded! 
File Inclusion | 
[More Information 
Insacure CAPTCHA | 

SOL Injection | 

SQL Injection {Blind) | 

Weak Session IDs | 

Xss (DOM) | 

Xs (Reflected) | 


图 4-62 再 次 上 传 文件 test2 


(17) 成 功 上 传 文件 ,如 图 4-63 所 示 。 


了 如 性 全 ) 蜗 辑 在 1 查看 名 ”办 史 避 ) 书 长 电 ) 工具 位 ) 和 帮助 作 ) 
园 manerability: File tp1 X 匠 - 


二 Ci 172.16.2.101/DVHA ml nerabilities/uploadi!# 


Home | 
Instructions Choose animage to upload: 


Setup Reset DB | 
木 圭 怪 交 性 。 


Brute Force | 

Command Injection | 
CSRF 

File Inclusion | 
[| More Information 
Insecure CAPTCHA | 

SQL Injection | 

SQL Injection 愉 lin 小 | 

Vieak session IDs | 

XSS (DOM, | 

XSS {Reflected | 


图 4-63 ”成 功 上 传 文件 test2 
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(18) 重新 跳 转 到 之 前 的 文件 上 传 页 面 ,上 传 果 面 的 test3. html, 单 击 Upload 按钮 ， 
如 图 4-b4 所 示 总 
也 件 人 军 ) 编辑 人 让) 查看 WM 历史 (8) 书本 划 ] 工具 II) 着 助 加 
国 nerability: File lpl… % Ws 


志 | 1T2. 18.2.101DYWA lnerabilities/ uFloadi# 


本 Vulnerability: File Upload 


nstructions | Choose an Image to upload: 
setup Reset DB | 


浏览 ,，| test3.html 


Brute Force | 

Command Injecion | 

CSRF .hiackablLerupLoadsy/ Test2。 exe succesfully uploadedl 
File Inclusion | 
[| More Information 
Insecure CAPTCHA | 

SQL lnjection | 

SOQL Injection {Blindl | 

Weak Session IDs | 

45s [DOM) | 

头号 号 [Reflected) | 


图 4-64 再 次 上 传 文件 test3 


(19) 成 功 上 传 文件 ,可 见 之 前 设置 的 策略 有 效 , 符 合 预期 要 求 , 如 图 4-65 所 示 。 


立 件 正 ] ” 圭 辑 眉 ) 查看 位 座 虫 放 ] 书 阁 霹 )】 工具 民 ) 项 助 而 
园 mlnsrability: File Url X We; 


| 人 | 172.16.2.1017DYWYArsaLnerabilitiesruploadr 


re Vulnerability: File Upload 


nstructions | Choose an Image to upload: 
Setup Reset DB | 
未 选择 六 性 。 


Brute Force | 

Lommand Injection | 

CSsRF .7 .iacEabLerupLoadsytest3. html succesfully uploaded! 
File Inclusion | 
[| More Information 
Insecure CAPTCHA | 

SQL Injection | 

sOL Injection (Blind} | 

Weak Session IDs | 

Xss (DOM | 

Xss [heflected) | 


图 4-65 ”成 功 上 传 文件 test3 
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12) 通过 配置 备份 文件 成 功 恢复 配置 

(1) 现在 Web 应 用 防火 墙 增加 了 一 条 名 为 bridgel3 的 网 桥接 口 。 在 管理 机 打开 误 
览 需 ,在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 “https: //172. 16. 2.110”( 以 实际 
设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
admin, 单 击 “ 登 录 ” 按 钮 ,登录 Web 应 用 防火 墙 。 单 击 面 板 左 侧 导 航 栏 中 的 “系统 配置 ”一 
“备份 恢复 ”, 在 “备份 恢复 ”界面 中 双击 配置 文件 。 

(2) 在 弹出 的 “恢复 到 备份 点 ”界面 中 ,应 可 见 备份 的 配置 文件 的 详细 信息 。 

(3) 单 击 "恢复 ”按钮 ,系统 会 自动 重 局 ,一 分 钟 后 恢复 配置 ,重新 登录 设备 , 单 击 面 板 
左 侧 导 航 栏 中 的 “网 络 管理 ”一 “网 络 接 口 ”, 单 击 上 方 的 “网 桥接 口 ”, 在 “网 桥接 口 ” 界 面 
中 ,可 见 bridgel3 已 消失 ,说 明 设 备 已 恢复 至 备份 点 ,符合 预期 要 求 。 

13) 通过 配置 日 志 备 份 文件 成 功 恢 复 配 置 

(1) 在 管理 机 打开 浏览 需 , 在 地 址 栏 中 输入 Web 应 用 防火 墙 产品 的 IP 地 址 https: 
//10.0.0.1”( 以 实际 设备 IP 地 址 为 准 ) ,进入 Web 应 用 防火 墙 的 登录 界面 。 输 入 管理 员 
用 户 名 admin 和 密码 admin , 单 击 “登录 ”按钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 导 
航 栏 中 的 “日 志 系 统 ” ~“ 攻击 日 志 ”, 在 “攻击 日 志 ” 界 面 中 可 见 之 前 产生 的 日 志 , 如 图 4-66 
所 示 。 


夯 3drmin C eh 


目 服务 器 管理 ey [ss | | | sdxm 
党 基于 对 订 每 页 显示 | 15 | ， 


QL Web 防 护 


十 ”安全 情报 中 心 


徊 ”访问 控制 
四 ”网 页 防 复 改 
扫描 器 
了 ”DDoS 防护 


定 网 站 云 防护 


罩 份 日 志 
审计 日 志 
访问 日 志 
攻击 日 志 
DBoS 日 志 


日 期 和 时 间 

2017-12-31 13.5918 
2017-12-31 13:5605 
2017-12-31 13:53:28 
2017-12-31 13:51:25 
2017-12-31 13:50:23 
2017-12-31 13:50:18 
2017-12-31 13:50:11 
2017-12-31 13:48:35 
2017-12-31 13:14:49 
2017-12-31 13:1449 
2017-12-31 13:14:48 
2017-12-31 13:14:48 
2017-12-31 13:14:48 
2017-12-31 13'1d:43 


2017-12-31 13:14:48 


172.15.2.100 
178.15.2.100 
172.15.2.100 
172.16.2.100 
172.16.2.100 
172,16.2.100 
172.15.2.100 
172.18.2.100 
172.18.2.100 
172.15.2.100 
172,.15.2.100 
172.16.2.100 
172.16.2.100 
172.15.2.100 


172.15.2.100 


172.16.2.101 
172,16.2.101 
172.16,.2.101 
172.16.2.101 
172.16.2.101 
172,16.2.101 
172.16.2.101 
172.16.2.101 


112.16.2.101 


172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16,.2.101 
172.16.2.101 


172.16.2.101 


目的 URL 


VDWUWAAmuln |- 
/DNA In,,. | - 
/DV A run. 
DVNWA sacur... | - 
/DVWA login.. 
/DV WA ogin.. | - 
[DVWAogin.. | - 
/DVWA login.. 
Drscuzfory,.. 
/Discuzfory... 


/Discuz/fory,.. 


Discuz/fory,.. 


POST | 谱 件 上 屠 规 册 
POST | 充 忻 上 慷 搞 则 
POSsT 京 件 上 传 规则 
POST | 京 件 上 传 规则 
pOST 浆 忻 上 愤 规 如 
POST | 立 忻 上 属 规 则 
POST 充 件 上 传 规 则 
POST 冯 忻 上 忧 规 则 
训 忻 下 载 规 则 
辫 件 下 郝 击 刚 
文件 下 载 规 则 
文件 下 载 规 则 
误 件 下 葵 规 则 
立 件 下 载 规 则 
训 忻 下 载 规 则 


1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
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如 2017 风神 All nghts reserved, 党 司 网 址 ; http:j fnew.legendsec.com 


图 4-66 备份 文件 列表 


(2) 单 击 “ 清 空 ”按钮 ,清空 日 志 , 如 图 4-67 所 示 。 
(3) 单 击 面板 左 侧 的 “日 志和 系统” 一 “备份 日 志 ”。 在 “十 备份 日 志 ” 界 面 中 ,双击 备份 
日 志文 件 。 在 “恢复 到 备份 点 ”界面 中 ,查看 恢复 的 信息 , 单 击 “恢复 ”按钮 ,如 图 4-68 
所 不。 
(4) Web 应 用 防火 墙 恢复 数据 并 返回 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 admin， 


pa pa 


Fa 第 4 和 齐 Web 应 用 防火 墙 综合 实验 ED 


万 admin 区 退出 


RE EEC 


六 到 证 六 


各 俗 日 志 
市 计 日 志 
访问 日 志 
攻击 日 志 
DDos 日 志 


mlnfar 总 
局 2017 网 粮 Bl| rights reserved. 公司 网 址 : httpsy/wunalegendsec.co m 


4-67 清空 日 志 


图 4-68 恢复 到 备份 点 界面 


单 击 “登录 ”按钮 ,登录 Web 应 用 防火 墙 。 单 击 面板 左 侧 的 "日志 系 统 ” 一 “攻击 日 志 ”, 发 现 
日 志 恢 复 ,说 明 配置 成 功 ,符合 预期 要 求 , 如 图 4-69 所 示 。 

【实验 思考 了 

如 果实 验 中 的 所 有 已 配置 的 防护 策略 都 处 于 局 用 状态 ,会 出 现 什么 问题 ?如 何 解决 
这 个 问题 ? 
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高 admin 畦 退 出 
+ 攻击 日 志 |s#2 | 清二 > |stx |Bie 


服务 器 置 捍 行 页 是 示 15  ， 
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Web 防 护 
安全 情报 中 心 
访问 控制 
网 页 防 算 改 


扫 街 器 


 DDos 扩 护 


网 站 云 防护 


叔 恰 日 志 
审计 日 志 
访问 日 志 
项 击 日 志 


国 


口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 


日 期 和 时 间 

2017-12-31 13:59:18 
2017-12-31 13:56:05 
2017-12-31 13:53:2B 
2017-12-31 13:51:25 
2D017-12-31 13:50:25 
2017-12-31 13:530:18 
e017-12-31 13:50:11 
2017-12-31 13:48:33 
2017-12-31 13:1A:49 
2017-12-31 13:1A:49 
2017-12-31 13:14:48 
2017-12-31 13:14:48 
2017-12-31 13:14:48 
2017-12-31 13;14:48 
2017-12-31 13:14:48 


i216.2.100 
T2162.100 
Ta,16.2.100 
Ta,16.2.100 
ra.16.2.100 
ra.16.2.100 
Te,16.2.100 
172.16.2.100 
2.16.2.100 
i216.2.100 
a16.2.100 
Ta,16.2.100 
Ta,16.2.100 
Ta,16.2.100 
ra.16.2.100 


172.16.2.101 
172.16.2.101 
172.16.2.101 
172,16.2.101 
ra.16.2.101 
17r216.2.101 
172,16.2,101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2.101 
172.16.2,101 
17a,.16.2,101 
17a.16.2.101 
172.16.2.101 


目的 URL 


:DWA fln,.. 
:DVWA ln,.. 
/DVWA un. 
/DVWA secur.. 
‘DV WANogin.. 
:DVWA Nogin.. 
‘DvVWA Nogin... 
DuwwAvingin_. 
/Discuzrfaru 
/Discuz/faru 
/Discuz/faru 
ENscuzforu。， 
/Discuziforu,., 
:Discuzifonu,., 


Dscuzifony,.. 


mod=attach.. 
mod=attach.. 
mod=attach.. 
mod=attach,... 
mod=attach... 
mod=attach... 


mad =attach,.. 


瑟 件 上 忧 规则 
站 上 和 导 夫 则 
中 上 待 规则 
文中 上 和 心 规则 
六 上 竺 规则 
文 虽 上 入 规 则 
更 件 上 忧 规则 
浆 件 上 忧 规 刚 
立 件 下 索 抽 刚 
浆 件 下 过 规则 
浆 件 下 壹 规则 
交 件 下 载 规则 
交 件 下 载 规则 
文件 下 载 规则 
文件 下 载 规则 
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4-69 恢复 到 之 前 的 状态 


